První fáze eliminace nekvalifikovaných jmen v SANech už 1. 10.

(8.9.2014) Určitě víte, že jako SAN lze do certifikátu přidat mnoho různých názvů, které nejsou doména, a dokonce i IP adresu. V příštích dvou letech však dochází ke změně, která má pomoci k vyšší bezpečnosti na internetu a přehlednosti v doménách chráněných certifikáty.

Omezení podpory lokálních jmen a rezervovaných IP adres v SAN certifikátech

První fáze omezení podpory interních (lokálních) jmen serverů a rezervovaných IP adres v SAN certifikátech nastane již 1. 10. 2014. Příkladem takového názvu je například "server01" nebo "exchange.local". Rozsahy rezervovaných IP adres najdete zde.

Cílem certifikačních autorit je stav, kdy v SAN certifikátech budou pouze plně kvalifikované DNS názvy (FQDN). Plně kvalifikovaný DNS název je takový, který je vázán na veřejné DNS a má ověřitelného vlastníka (tedy zaregistrovaná doména).

Druhá fáze přijde o rok později; poté už v certifikátu nekvalifikované názvy vůbec nebudou; nevhodné certifikáty s těmito názvy budou zrušeny.

Co to znamená pro uživatele SSLmarketu?

Změna se projeví nemožností vložit SAN s interním názvem serveru (nekvalifikovaným) a rezervovanou IP adresou (známé rozsahy 10.0.0.x, 192.168.x.x., apod.). Takové jméno nebude možné v certifikátu objednat. Do SANů bude možné přidat pouze FQDN doménu. Objednávka SSLmarket s tím počítá, a po aplikaci změny certifikačních autorit nebude ani na SSLmarketu možné tyto neplatné názvy jako SAN objednat.

Zprávu CAB fóra o této změně naleznete na jejich webu v článku Guidance on Internal Names.

V případě potřeby se neváhejte obrátit na zákaznickou podporu SSLmarket.

Archiv novinek