Μπορώ να ζητήσω ένα πιστοποιητικό για όνομα intranet ή διεύθυνση IP;
Όχι - δεχόμαστε πλέον αιτήματα πιστοποιητικών για ονόματα intranet ή διευθύνσεων IP. Πρόκειται για ένα πρότυπο σε επίπεδο βιομηχανίας και όχι συγκεκριμένο για την GoDaddy.
Ακολουθούν παραδείγματα τύπων "κοινών ονομάτων" για τις οποίες δεν μπορείτε να ζητήσετε πιστοποιητικά:
| Τύπος | Παράδειγμα |
|---|---|
| Intranet | server1 , mail , server2.local |
| IPv4 | 192.1.2.3 |
| IPv6 | fe80: 4: 6c: 8c74: 0000: 5efe: 109.21 |
Γιατί υπάρχει αυτή η πολιτική;
Για να δημιουργηθεί ένα ασφαλέστερο online περιβάλλον, τα μέλη του Certificate Authorities Browser Forum συσκέφθηκαν για να καθορίσουν οδηγίες υλοποίησης για τα πιστοποιητικά SSL. Ως αποτέλεσμα, από την 1η Οκτωβρίου 2016, οι αρχές έκδοσης πιστοποιητικών (CA) πρέπει να ανακαλέσουν όσα πιστοποιητικά SSL χρησιμοποιούν ονόματα intranet ή διευθύνσεις IP.
Εν ολίγοις, αυτή η πολιτική αυξάνει την ασφάλεια. Επειδή τα εσωτερικά ονόματα server δεν είναι μοναδικά, είναι ευάλωτα σε επιθέσεις από τον άνθρωπο στο μέσο (MITM). Σε μια επίθεση MITM, ο εισβολέας χρησιμοποιεί ένα αντίγραφο του πραγματικού πιστοποιητικού ή ενός διπλό πιστοποιητικού για παρακολούθηση και αναμετάδοση μηνυμάτων. Επειδή οι CA εκδίδουν πολλά πιστοποιητικά για το ίδιο εσωτερικό όνομα, ένας εισβολέας μπορεί να υποβάλει έγκυρο αίτημα για διπλό πιστοποιητικό και να το χρησιμοποιήσει για το MITM.
Για να διαβάσετε τις οδηγίες του CA/Browser Forum, κάντε κλικ εδώ.
Ποιες είναι οι εναλλακτικές λύσεις μου αν θέλω να χρησιμοποιήσω μια διεύθυνση IP;
Αντί να διασφαλίζετε διευθύνσεις IP και ονόματα intranet, θα πρέπει να αναδιαμορφώσετε τους server για να χρησιμοποιήσετε πλήρως προσδιορισμένα ονόματα domain (FQDN), όπως το www.coolexample.com .
Αφού διαμορφώσετε ένα FQDN για να παραπέμπει στη διεύθυνση IP σας, μπορείτε να δημιουργήσετε ένα CSR για το όνομα domain και, στη συνέχεια, να ζητήσετε το πιστοποιητικό σας.
Επόμενο βήμα
- Αφού δείξετε ένα domain στη διεύθυνση IP σας, μπορείτε να ζητήσετε ένα CSR για αυτό
