Udfasning af interne servernavne
Cabforum, som alle større certifikatudstedere og browser producenter er medlemmer af, har godkendt en række krav som alle certifikatudstedere skal overholde.
Et af disse krav er en hurtig udfasning af interne servernavne i SSL-certifikater, fra alle offentligt anerkendte certifikatudstedere.
Årsagen til denne udfasning skal være for at sikre imod Man-in-The-Middle (MTM) angreb, hvor det er muligt at udgive sig for at være en intern server via et offentligt anerkendt SSL-certifikat.
FairSSL anbefaling til vores kunder
- Ved installation af nye systemer konfigurer anvendelse uden interne servernavne hvis muligt fx med split DNS.
- Eller ved installation af nye systemer, anvend intern CA i kombination med offentlige SSL-certifikater. (Vi kan assistere/vejlede om interne PKI løsninger)
Hvilke servernavne er interne?
Herunder er eksempler på interne servernavne. Hvis et certifikat indeholder navne som disse, vil det ikke blive accepteret:
- server01
- exch01.fairssl.local
- srv01.domain.lan
- localhost
- 192.168.100.10
- 10.0.0.10
Fulde detaljer om dette og andre krav kan læses direkte i kravdokumentet CA/Browser Forum - Baseline Requirements - v.1.0
