为了防止SSL服务器证书被网络中间人攻击组织所利用,从11月1日起,签发SSL服务器证书的供应商将开始遵守新的签发指南。这些新规则,正如行业组织成员所描述的证书颁发机构/浏览器论坛,意味着证书颁发机构(CAs)将不再颁发包含“内部名称”的证书,有效期将在2015年11月1日之后。
现在,第二个产业集团,theCA安全委员会,其成员包括Go Daddy、DigiCert、趋势科技、Entrust、赛门铁克、GlobalSign和Comodo下面是韦恩·塞耶的评论他是CA安全理事会指导委员会的成员,也是Go Daddy公司安全产品的总经理:
随着变得可用数百个新的顶级域名(TLD的),如“某个.Exchange”和“名为.xyz”,还有目前在域的世界许多令人兴奋和变化。所有这些新顶级域名的发病也推动所谓的“内部名称”一些大的变化 - 这是唯一有意义的一个特定组织的域名。常见的例子是“邮件”和“内联网”,但IT部门在历史中的内部名称来标识各种系统不需要公共访问。
CA/Browser论坛已经采纳了一些规则,这些规则将很快停止签发包含内部名称的SSL证书。具体来说,证书颁发机构(CAs)不能颁发包含内部名称且有效期在2015年11月1日之后的证书。由于大多数CAs以1年为增量销售证书,这有效地意味着客户必须在2014年11月1日前停止请求包含内部名称的证书。此外,CAs必须在2016年10月1日前撤销包含内部名称的现有证书。
+也在网络世界:新的SSL服务器规则将于11月1日生效+
此外,包含与新委托的顶级域名相匹配的内部名称的现有证书(例如。(“交易所”)必须在新合约签署后120天内撤销。在大多数情况下,在可以注册新TLD中的名称之前,必须撤销现有证书。
这些新规则迫使许多IT部门匆忙做出决定,在现有的SSL证书过期或被撤销之前实施更改。针对这些挑战,建议的解决方案是重新配置系统,以使用公开注册的名称。在某些情况下,工作的成本可能太高,组织将考虑中列出的其他选项此CA安全理事会博客。
推动这些新规则的安全问题早在ICANN大规模扩张顶级域名之前就存在了。内部名称的根本问题是它们不是唯一的。这意味着许多方可以并且确实获得包含完全相同名称的证书。将这一事实与相对容易在无线网络上执行中间人攻击相结合,您就会遇到一个重大的安全漏洞。
作为这种威胁的一个例子,假设有一家公司的内部电子邮件系统运行的是客户Wi-Fi网络https://exchange。攻击者可以访问网络并拥有用于“交换”的SSL证书(在现有CA策略下很容易获得),可以使用ssl嗅探之类的工具在不被发现的情况下拦截电子邮件凭据和内容。
像大多数与安全相关的努力一样,让系统不再使用内部名称并不容易,也不是很受欢迎,但这项工作将在2016年底为所有公开信任的SSL证书都与唯一注册域名相关联奠定基础,从而使网络更加安全。
Ellen Messmer是IDG网站Network World的高足球竞猜app软件级编辑,她在该网站上报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com