CANN(互联网名称与数字地址分派机构)发布了一个安然通知布告,夸大年夜SSL(加密套接字和谈层)证书对不合格扩大的内部域名的首要性。甚么是一个不合格扩大的域名呢?它会带来哪些风险?为甚么ICANN觉得SSL证书可以防御这个风险呢?
DNS(域名系统)是用于定名连接到Internet的计较机、办事器和肆意其它资本的系统。好比www.mycompany.com这个主机名是由三个DNS标签构成的:“www”是本地主机名,“mycompany”是二级域名,“.com”是顶级域名。当一个主机名的所有标签都是明白指定,并且起码有一个公共路由的IP地址与其相联系关系时,这个主机名就是完全合格的域名。主机名“www.mycompany.com”可以经由过程本地主机文件或一个DNS解析法度翻译成一个IP地址。
组织凡是会用一些不合格的域名,如“邮件”、“维基”、“互换”等词,在他们的本地收集上来辨认机械,如许用户经由过程输进组织内部资本的简短名称便可以搜刮到该组织。这些人类可辨认的本地主机名相对IP地址来讲也更等闲记忆和辨认。假定这些主机没有一个公网IP地址,他们就被视为没有合格的域名。
电子前沿基金会(EFF)发现,CA(证书授权中间)为数以千计的用于在本地企业收集中辨认机械的常见不合格域名签发了合法证书。如许就造成了一个安然标题问题,因为公开可托的CA颁布的数字证书是意味着该主机名可以独一辨认全部因特网中的一个资本,而这些不合格的域名不是独一的,任何人都可能获得一个认证https://mail或https://wiki的证书。
假定一个报复打击者获得了不合格域名“邮件”的证书,那么这个证书便可以在浏览器或把持系统信赖存储中链接到一个CA中间,报复打击者可以将这个证书利用在对一个叫“邮件”的内部收集中的肆意邮件办事器的中间人报复打击中,这个证书就是一个完美的身份捏造。报复打击者和办事器的连接看起来是很正常的,并且证书查抄会显示报复打击者的证书是由一个公开可托的CA或私家企业范围的CA所发行。
因为各类CA中间一样为内部域名签发了一些不合格的扩大名,这个标题问题就变得更糟了。例如,“.corp”的域名扩大已用于良多私家企业收集内部,可是“.corp”这个扩大名今朝正被考虑将来作为一个gTLD(通用顶级域名)。假定新的gTLD开端运作,那么之前为“.corp”所颁布的证书还有其它新的gTLD便可以从真实的域名重定向到一个用户。
为体味决这个标题问题,CA/B论坛,一个证书授权中间和Web浏览器出产商组织,要求他们的CA成员不再向2015年11月1日之前到期的内部办事器名字颁布近似新的证书。2016年10月1号,所有CA中间预期将撤消剩下的仍在有效期的所有这类内部办事器域名证书,永久停用此类证书。可是直到2016年10月,新的gTLD仍存在暗藏缝隙。
企业治理员可以经由过程不利用不合格证书拜候内部资本来冲击中间人报复打击带来的风险。例如,一个邮件办事器只能经由过程完全合格域名https://mail. mycompany.com/来拜候,而不克不及经由过程https://mail/.来拜候。企业发行证书应当利用它们本身私家的CA中间,如微软证书办事器,不该该为不合格域名和私家的,不成路由的IP地址签发证书,并应当撤消现有的这类不合格证书。