Чому скасували SSL сертифікати для IP і локальних доменів?
Найголовніша мета центрів сертифікації при видачі SSL сертифікатів - забезпечити надійність і довіру шляхом прив'язування даних криптографічного публічного ключа до перевіреної особистості або компанії. SSL сертифікати ідентифікують комп'ютери в якості серверів, що пропонують один або кілька протоколів (зазвичай HTTP для веб трафіку, але також і SMTP, POP, IMAP, FTP, XMPP, RDP та інші) через SSL / TLS.
SSL сертифікати від довірених центрів сертифікації видаються з тією метою, щоб забезпечити безпеку і довіру для доменних імен по всій мережі Інтернет. Неунікальні доменні імена за самою своєю природою не можуть бути ідентифіковані поза свого локального контексту, тому SSL сертифікати, видані для локальних доменів, є потенційно небезпечними, так як можуть бути використані в шахрайських цілях.
Тут слід зауважити, що не має значення, чи використовувався SSL сертифікат від відомого довіреної центру сертифікації (як Comdo, Thawte, Symantec і інші), або ж самоподпісанний SSL сертифікат від приватного корпоративного центру сертифікації. Якщо між SSL сертифікатом, використовуваним шахраєм, буде встановлена ланцюжок з центром сертифікації в сховище браузера або операційної системи, сертифікат буде прийнятий усіма клієнтами, створюючи вразливість навіть на стороні користувачів приватної інфраструктури приватних ключів (PKI).
Які є альтернативи?
1. Використовувати повністю певні доменні імена (FQDN) і пошук DNS суфікса домена.
Багато сайтів, доступні по локальному імені домена, можуть також бути доступними і правильно визначатися по FQDN, так як програмне забезпечення DNS-клієнта використовує процес званий пошуком суфікса, при якому налаштовані суфікси додаються до локального імені та в результаті є повністю певний домен FQDN. Як правило, це відбувається автоматично для доменів, частиною яких є система. Наприклад, система з ім'ям "client.example.com" використовує "example.com" в якості суфікса для пошуку. Намагаючись встановити зв'язок з ім'ям "server", ця система буде автоматично пробувати знайти "server.example.com" через DNS пошук. Пошук DNS суфікса домена можна налаштувати самостійно.
Другим можливим способом вирішення проблеми з випуском SSL сертифікатів для локальних доменів є створення власної системи PKI з локальним центром сертифікації. Створити його можна, наприклад, за допомогою OpenSSL, для якого існує безліч інструкцій в Інтернеті.
У мережі Microsoft Windows Active Directory Network можна конфігурувати сервер Windows Server як корпоративний центр сертифікації і налаштувати автоматичне прийняття сертифікатів клієнтами.
3. Вручну підтверджувати довіру до самоподпісанного сертифікатами.
У невеликих некерованих мережах можна приймати самоподпісанного сертифікати вручну. Той же OpenSSL дозволяє згенерувати SSL сертифікат самому. Якщо Ви користуєтеся сервером Microsoft IIS, Ви можете скористатися нашою інструкцією по створенню SSL сертифікату. Якщо кількість користувачів сервісу з самоподпісанного сертифікатом невелика, вони можуть вручну приймати ці сертифікати, попередньо перевіривши міститься в них інформацію.
Купити SSL сертифікат
Забезпечте захист переданих даних за допомогою SSL сертифікату