Защо отмените SSL сертификати за местните домейни и IP?

Основната цел на центровете за сертифициране в издаване на SSL сертификати - да се гарантира надеждността и доверието, като обвързват тези криптографски публичен ключ към тествания лицето или фирмата. SSL сертификат идентифицира компютрите като сървъри, които предлагат един или повече протоколи (обикновено HTTP за уеб трафик, но също така и SMTP, POP, IMAP, FTP, XMPP, ПРСР, и т.н.) чрез SSL / TLS.

SSL сертификати от сертифициращи органи доверени се издават с цел да се гарантира сигурността и доверието към цялата имена на интернет домейни. Non-уникални имена на домейни от техния характер, не могат да бъдат идентифицирани извън техния местен контекст, така че SSL сертификати, издадени за местните домейни са потенциално опасни, тъй като те могат да бъдат използвани с цел измама.

Трябва да се отбележи, че това не е от значение дали сертификатът за SSL от известно надежден орган за сертифициране, използвани (както Comdo, Thawte, Symantec и други), или самоподписаният SSL сертификат от частен CA. предприятието Ако между сертификат SSL използва от измамници ще поставете веригата на сертифициращия орган в система за съхранение или работа на браузъра, сертификатът ще бъде прието от всички клиенти, създаване на уязвимост, дори и от страна на частните потребителски инфраструктура частни ключове (PKI).

Какви са алтернативите?

1. Използвайте имената напълно квалифицирани домейн (FQDN) и DNS домейн търсене на наставка.

Много сайтове са на разположение на името на локалния домейн може да бъде на разположение и правилно определя от FQDN, тъй като DNS-клиентски софтуер използва процес, наречен наставка търсене, в което се добавят конфигурирани суфикси на местното име, и като резултат е налице пълно домейн име FQDN. Обикновено това се извършва автоматично за домейна, който е част от системата. Например, системата с име "client.example.com" използва "example.com" като суфикс за търсене. Опитвайки се да се установи връзка с името "сървър", системата автоматично ще се опита да намери "server.example.com" чрез справка DNS. DNS търсене на суфикс на домейн може да се конфигурира самостоятелно.

Втори възможен начин за решаване на проблема с проблемите на SSL сертификат за локалния домейн е да се създаде своя собствена система PKI на местния център за сертифициране. Създаване на възможност, например, с помощта на OpenSSL, за която има набор от инструкции в Интернет.

Online Microsoft Windows Network Directory активен, можете да конфигурирате сървър Windows Server като корпоративен орган за сертифициране и да конфигурира автоматично сертификат за приемане на клиента.

3. Ръчно потвърждаване достоверността на самоподписаният сертификат.

В малки неуправляеми мрежи може да приеме самоподписани сертификати ръчно. Същата OpenSSL можете да изготвяте самия сертификат за SSL. Ако използвате Microsoft IIS сървър, можете да използвате нашите инструкции за създаването на сертификат за SSL. Ако броят на потребителите на услугата с самоподписаният сертификат не е голям, те могат ръчно да се вземат тези сертификати след проверка на информацията, съдържаща се в тях.

Купи SSL сертификат

Защитете данните, предавани с SSL сертификат