Certificatele Ssl pentru adresa IP și domeniul local nu mai sunt emise

Certificatele Ssl pentru adresa IP și domeniul local nu mai sunt emise

De ce ați anulat certificatele SSL pentru domeniile IP și locale?

Cel mai important obiectiv al CA atunci când emiteți certificate SSL este de a oferi fiabilitate și încredere prin legarea datelor unei chei publice criptografice către o persoană sau o companie de încredere. Certificatele SSL identifică computerele ca servere care oferă unul sau mai multe protocoale (de obicei, HTTP pentru trafic web, dar și SMTP, POP, IMAP, FTP, XMPP, RDP și altele) prin SSL / TLS.







Certificatele SSL de la autorități de certificare de încredere sunt emise pentru a oferi securitate și încredere pentru numele de domenii pe Internet. Numele de domenii care nu sunt unice nu pot fi identificate în afara contextului lor local, astfel încât certificatele SSL emise pentru domenii locale sunt potențial periculoase, deoarece acestea pot fi utilizate în scopuri frauduloase.

Trebuie remarcat faptul că nu contează dacă certificatul SSL de la o autoritate de certificare de încredere cunoscut utilizat (ca Comdo, Thawte, Symantec și altele), sau certificat SSL autosemnat de la o întreprindere privată CA. Dacă între certificatul SSL folosit de escroci va seta lanțul de către autoritatea de certificare în sistemul de stocare sau de operare a browser-ului, certificatul va fi acceptat de toți clienții, creând o vulnerabilitate, chiar și pe partea laterală a cheilor private ale utilizatorilor infrastructurii private (PKI).







Care sunt alternativele?

1. Utilizați căutări de domenii complet calificate (FQDN) și sufixe de domenii DNS.

Multe site-uri sunt disponibile pe numele de domeniu local poate fi, de asemenea, disponibile și determinate în mod corect de către FQDN, deoarece software-ul DNS-client utilizează un proces numit sufix de căutare în care sufixele configurate sunt adăugate la numele local, și, ca urmare, există un nume de domeniu complet calificat FQDN. În mod obișnuit, acest lucru se întâmplă automat pentru domeniile din care face parte sistemul. De exemplu, un sistem numit "client.example.com" utilizează "example.com" drept sufixul său de căutare. Încercarea de a stabili o conexiune cu numele "server", acest sistem va încerca automat să găsească "server.example.com" prin căutarea DNS. Puteți să vă configurați singur sufixul domeniului DNS.

Cea de-a doua modalitate posibilă de a rezolva problema cu emiterea de certificate SSL pentru domeniile locale este crearea unui sistem propriu PKI cu o autoritate locală de certificare. O puteți crea, de exemplu, utilizând OpenSSL, pentru care există multe instrucțiuni pe Internet.

Într-o rețea Active Directory Microsoft Windows, puteți configura Windows Server ca un CA corporativ și puteți configura acceptarea automată de către clienți a certificatelor.

3. Confirmați manual credibilitatea certificatelor cu auto-semnare.

În rețelele mici care nu sunt gestionate, puteți accepta manual certificatele auto-semnate. Același OpenSSL vă permite să generați singur un certificat SSL. Dacă utilizați serverul Microsoft IIS, puteți utiliza instrucțiunile noastre pentru a crea un certificat SSL. Dacă numărul de utilizatori ai unui serviciu cu un certificat auto-semnat este mic, aceștia pot accepta manual aceste certificate, verificând mai întâi informațiile conținute în acestea.

Cumpărați certificatul SSL

Asigurați-vă că datele transmise sunt protejate cu un certificat SSL







Trimiteți-le prietenilor: