Obsolescenza dei nomi delle reti intranet e degli indirizzi IP nei certificati SSL

La comunità dedicata al mantenimento della sicurezza in Internet sta progressivamente eliminando l'uso dei nomi delle reti intranet e degli indirizzi IP come nomi di dominio principali o nomi alternativi del soggetto (SAN) nei certificati SSL. Si tratta di una decisione che coinvolge l'intero settore e non soltanto la nostra società.

Dal 1 luglio 2012, non accettiamo più nuove richieste, richieste di immissione di nuove chiavi o rinnovi per i certificati SSL che contengono nomi di reti intranet o indirizzi IP e che scadono dopo il 1 novembre 2015. Inoltre, non supportiamo i certificati SSL che proteggono gli indirizzi IP o IPv6 pubblici.

Il nome di una intranet è il nome di una rete privata, ad esempio server1, mail o server2.local, a cui i server dei nomi di dominio (DNS) pubblici non possono accedere. Un indirizzo IP è una stringa di numeri, ad esempio 123.45.67.890, che definisce la posizione di un computer.

Motivo della modifica

Allo scopo di creare un ambiente online più sicuro, i membri del Certificate Authorities Browser Forum si sono incontrati per definire le linee guida di implementazione dei certificati SSL e hanno deliberato che, a partire dal 1 ottobre 2016, le autorità di certificazione dovranno revocare i certificati SSL contenenti nomi di reti intranet o indirizzi IP.

In poche parole, si tratta di un cambiamento rivolto a rafforzare la protezione. I nomi dei server interni non sono univoci, pertanto sono vulnerabili agli attacchi MITM (Man-in-the-middle). In un attacco MITM, l'hacker utilizza una copia del certificato reale o un duplicato dello stesso per intercettare e ritrasmettere i messaggi. Poiché le autorità di certificazione rilasciano più certificati per lo stesso nome di server interno, un hacker può effettuare una richiesta valida per un certificato duplicato e utilizzarlo per l'attacco MITM.

Per leggere le linee guida del CA/Browser Forum, fai clic qui.

Quali azioni devo intraprendere?

Se disponi di un certificato contenente il nome di una rete intranet o un indirizzo IP, puoi continuare a utilizzarlo fino alla sua scadenza o fino al 1 ottobre 2016, a seconda dell'evento che si verifica per primo. Al momento, puoi solo rinnovare questi certificati per la durata di un anno.

D'ora in poi, devi cercare soluzioni alternative per proteggere i nomi della tua intranet. In altre parole, anziché proteggere gli indirizzi IP e i nomi della rete intranet, devi riconfigurare i server affinché utilizzino nomi di dominio pienamente qualificati (FQDN), come www.esempio.com.

Ad esempio, puoi creare la tua richiesta di firma certificato (CSR) e utilizzarla per firmare il certificato SSL. Oppure, se utilizzi Microsoft® Exchange Server, puoi riconfigurarne la funzione di individuazione automatica interna affinché utilizzi un FQDN. Per istruzioni, vedi

.


Questo articolo è stato di aiuto?
Grazie per il tuo feedback. Per parlare con un addetto dell’assistenza clienti, usa il numero di telefono o l’opzione chat qui sopra.
Felici di esserti stati di aiuto! C'è altro che possiamo fare per te?
Ci dispiace. Dicci che cosa hai trovato di poco chiaro o perché la soluzione non ha risolto il problema.