Отказ от SSL сертификатов для локальных доменов и IP адресов
Достаточно часто к нам поступают запросы о том, как получить SSL сертификат для локального домена (.local) или для IP адреса. Если раньше отдельные типы SSL сертификатов можно было получить для IP адреса или внутреннего домена, то теперь это, к сожалению, уже невозможно. Заказ внутренних сертификатов, как Comodo IntranetSSL более невозможен, а мультидоменные сертификаты с поддержкой локальных доменов .local будут действительны только до 31-го октября 2015 года. Что касается ранее выпущенных SSL сертификатов для внутренних доменов и IP адресов, то 1 октября 2016 года они будут отозваны или заблокированы браузерами.
SSL сертификаты идентифицируют компьютеры в качестве серверов, предлагающих один или несколько протоколов (обычно HTTP для веб траффика, но также и SMTP, POP, IMAP, FTP, XMPP, RDP и другие) через SSL/TLS. Сервер может быть доступен по ряду имен или адресов. Сервер, подключенный к сети Интернет, как правило, имеет собственное имя в системе доменных имен DNS (от Domain Name System), что позволяет любой другой системе в Интернете преобразовать это имя в IP адрес и получить доступ к серверу.
Для примера возьмем сервер с доменным именем "server1234.emaro-ssl.ru". Эта система имеет маршрутизируемый IP адрес в сети Интернет - IPv4 или IPv6, или же оба. Тем не менее серверы могут иметь дополнительные имена и адреса, которые действуют только в контексте локальной сети , а не во всем Интернете. Таким образом, тот же сервер из примера выше может быть доступен другим компьютерам в локальной сети по именам "mail" или "mail.local". Локальное имя домена может преобразовываться в маршрутизируемый IP адрес в сети Интернет или в Ip адрес, доступный только по локальной сети. Пространство IP адресов "192.168.*.*", которые используют многие домашние интернет-шлюзы, возможно, является наиболее известной серией личных сетевых адресов. Но также существует множество пространств IP адресов IPv4 и IPv6, зарезервированных для частного или другого использования. Ключевым различием между этими двумя типами доменных имен и IP адресов является их уникальность.
Полностью определённое имя домена (FQDN), как, например, www.emaro-ssl.ru; представляет собой уникальную и легко отличимую от других единицу в Интернете (даже если несколько серверов ответят на это доменное имя, управлять им может только одно лицо). В то же время, на неопределенное имя домена "mail" могут отвечать тысячи систем в публичных и приватных (локальных) сетях. В сети Интернет только один узел связи имеет IP адрес “5.63.155.56”, в то время как десятки тысяч домашних интернет-шлюзов имеют адрес “192.168.0.1”. SSL сертификаты от доверенных центров сертификации выдаются с той целью, чтобы обеспечить безопасность и доверие для доменных имен по всей сети Интернет.
Неуникальные доменные имена по самой своей природе не могут быть идентифицированы вне своего локального контекста, поэтому SSL сертификаты, выданные для локальных доменов, являются потенциально опасными, так как могут быть использованы в мошеннических целях. Именно по этой причине центры сертификации отказываются от выпуска SSL сертификатов для неуникальных доменов и IP адресов, как “mail”, “mail.local” или “192.168.0.1”.
Если злоумышленник использует такой сертификат в корпоративной локальной сети вместе со спуфингом локального имени, он сможет без проблем подменить настоящий сервер корпоративной электронной почты и заполучить данные пользователя для входа в систему и другую конфиденциальную информацию. При этом мошеннику даже не обязательно находиться в корпоративной сети, чтобы успешно провести атаку. Если пользователь подключит свой корпоративный ноутбук к публичной сети WiFi, почтовый клиент может автоматически попытаться подключиться к “https://mail/” прежде, чем будет установлено соединение через VPN. В этот момент злоумышленник может произвести подмену и украсть данные пользователя.
Здесь следует заметить, что не имеет значения, использовался ли SSL сертификат от известного доверенного центра сертификации (как Sectigo (Comodo), Thawte, Symantec и другие), или же самоподписанный SSL сертификат от частного корпоративного центра сертификации. Если между SSL сертификатом, используемым мошенником, будет установлена цепочка с центром сертификации в хранилище браузера или операционной системы, сертификат будет принят всеми клиентами, создавая уязвимость даже на стороне пользователей частной инфраструктуры приватных ключей (PKI). Из-за того, что невозможно провести полноценную проверку локальных доменов и IP адресов, а также из-за высокой возможности использования таких SSL сертификатов в мошеннических целях, Форум ЦС и Браузеров принял решение о прекращении их выдачи.
Многие сайты, доступные по локальному имени домена, могут также быть доступными и правильно определяться по FQDN, так как программное обеспечение DNS-клиента использует процесс называемый поиском суффикса, при котором настроенные суффиксы добавляются к локальному имени и в результате имеется полностью определенный домен FQDN. Как правило, это происходит автоматически для доменов, частью которых является система. Например, система с именем “client.example.com” использует “example.com” в качестве суффикса для поиска. Пытаясь установить связь с именем ”server”, эта система будет автоматически пробовать найти “server.example.com” через DNS поиск. Поиск DNS суффикса домена можно настроить самостоятельно. Если Вы используете домен .local для внутренней сети, этот способ Вам не подойдет, рекомендуем рассмотреть следующий.
2. Использовать приватные или корпоративные центры сертификации для подписи сертификатов для IP адресов и локальных доменов.
Вторым возможным способом решения проблемы с выпуском SSL сертификатов для локальных доменов является создание собственной системы PKI с локальным центром сертификации. Создать его можно, например, с помощью OpenSSL, для которого существует множество инструкций в Интернете. В сети Microsoft Windows Active Directory Network можно сконфигурировать сервер Windows Server как корпоративный центр сертификации и настроить автоматическое принятие сертификатов клиентами.
3. Вручную подтверждать доверие к самоподписанным сертификатам.
В небольших неуправляемых сетях можно принимать самоподписанные сертификаты вручную. Тот же OpenSSL позволяет сгенерировать SSL сертификат самому. Если Вы пользуетесь сервером Microsoft IIS, Вы можете воспользоваться нашей инструкцией по созданию SSL сертификата. Если количество пользователей сервиса с самоподписанным сертификатом невелико, они могут вручную принимать эти сертификаты, предварительно проверив содержащуюся в них информацию.
Почему отменили SSL сертификаты для IP и локальных доменов?
Решение о прекращении выпуска SSL сертификатов для доменов типа .local и для IP адресов было принято на Форуме центров сертификации и браузеров (CA/B Forum). Самая главная цель центров сертификации при выдаче SSL сертификатов - обеспечить надежность и доверие путем привязывания данных криптографического публичного ключа к проверенной личности или компании.SSL сертификаты идентифицируют компьютеры в качестве серверов, предлагающих один или несколько протоколов (обычно HTTP для веб траффика, но также и SMTP, POP, IMAP, FTP, XMPP, RDP и другие) через SSL/TLS. Сервер может быть доступен по ряду имен или адресов. Сервер, подключенный к сети Интернет, как правило, имеет собственное имя в системе доменных имен DNS (от Domain Name System), что позволяет любой другой системе в Интернете преобразовать это имя в IP адрес и получить доступ к серверу.
Для примера возьмем сервер с доменным именем "server1234.emaro-ssl.ru". Эта система имеет маршрутизируемый IP адрес в сети Интернет - IPv4 или IPv6, или же оба. Тем не менее серверы могут иметь дополнительные имена и адреса, которые действуют только в контексте локальной сети , а не во всем Интернете. Таким образом, тот же сервер из примера выше может быть доступен другим компьютерам в локальной сети по именам "mail" или "mail.local". Локальное имя домена может преобразовываться в маршрутизируемый IP адрес в сети Интернет или в Ip адрес, доступный только по локальной сети. Пространство IP адресов "192.168.*.*", которые используют многие домашние интернет-шлюзы, возможно, является наиболее известной серией личных сетевых адресов. Но также существует множество пространств IP адресов IPv4 и IPv6, зарезервированных для частного или другого использования. Ключевым различием между этими двумя типами доменных имен и IP адресов является их уникальность.
Полностью определённое имя домена (FQDN), как, например, www.emaro-ssl.ru; представляет собой уникальную и легко отличимую от других единицу в Интернете (даже если несколько серверов ответят на это доменное имя, управлять им может только одно лицо). В то же время, на неопределенное имя домена "mail" могут отвечать тысячи систем в публичных и приватных (локальных) сетях. В сети Интернет только один узел связи имеет IP адрес “5.63.155.56”, в то время как десятки тысяч домашних интернет-шлюзов имеют адрес “192.168.0.1”. SSL сертификаты от доверенных центров сертификации выдаются с той целью, чтобы обеспечить безопасность и доверие для доменных имен по всей сети Интернет.
Неуникальные доменные имена по самой своей природе не могут быть идентифицированы вне своего локального контекста, поэтому SSL сертификаты, выданные для локальных доменов, являются потенциально опасными, так как могут быть использованы в мошеннических целях. Именно по этой причине центры сертификации отказываются от выпуска SSL сертификатов для неуникальных доменов и IP адресов, как “mail”, “mail.local” или “192.168.0.1”.
Почему опасно использовать SSL сертификаты для локальных доменов и IP адресов?
Для примера возьмем компанию, которая развернула систему электронной почты по адресу “https://mail/”. Система недоступна через всемирную сеть Интернет, а только по локальной корпоративной сети или через VPN. Является ли она безопасной? Не обязательно, если имеется SSL сертификат для доменного имени “mail” от доверенного центра сертификации. Имя домена “mail” - неуникально, поэтому практически кто угодно может может получить SSL сертификат для “https://mail/”.Если злоумышленник использует такой сертификат в корпоративной локальной сети вместе со спуфингом локального имени, он сможет без проблем подменить настоящий сервер корпоративной электронной почты и заполучить данные пользователя для входа в систему и другую конфиденциальную информацию. При этом мошеннику даже не обязательно находиться в корпоративной сети, чтобы успешно провести атаку. Если пользователь подключит свой корпоративный ноутбук к публичной сети WiFi, почтовый клиент может автоматически попытаться подключиться к “https://mail/” прежде, чем будет установлено соединение через VPN. В этот момент злоумышленник может произвести подмену и украсть данные пользователя.
Здесь следует заметить, что не имеет значения, использовался ли SSL сертификат от известного доверенного центра сертификации (как Sectigo (Comodo), Thawte, Symantec и другие), или же самоподписанный SSL сертификат от частного корпоративного центра сертификации. Если между SSL сертификатом, используемым мошенником, будет установлена цепочка с центром сертификации в хранилище браузера или операционной системы, сертификат будет принят всеми клиентами, создавая уязвимость даже на стороне пользователей частной инфраструктуры приватных ключей (PKI). Из-за того, что невозможно провести полноценную проверку локальных доменов и IP адресов, а также из-за высокой возможности использования таких SSL сертификатов в мошеннических целях, Форум ЦС и Браузеров принял решение о прекращении их выдачи.
Какие есть альтернативы?
1. Использовать полностью определенные доменные имена (FQDN) и поиск DNS суффикса домена.Многие сайты, доступные по локальному имени домена, могут также быть доступными и правильно определяться по FQDN, так как программное обеспечение DNS-клиента использует процесс называемый поиском суффикса, при котором настроенные суффиксы добавляются к локальному имени и в результате имеется полностью определенный домен FQDN. Как правило, это происходит автоматически для доменов, частью которых является система. Например, система с именем “client.example.com” использует “example.com” в качестве суффикса для поиска. Пытаясь установить связь с именем ”server”, эта система будет автоматически пробовать найти “server.example.com” через DNS поиск. Поиск DNS суффикса домена можно настроить самостоятельно. Если Вы используете домен .local для внутренней сети, этот способ Вам не подойдет, рекомендуем рассмотреть следующий.
2. Использовать приватные или корпоративные центры сертификации для подписи сертификатов для IP адресов и локальных доменов.
Вторым возможным способом решения проблемы с выпуском SSL сертификатов для локальных доменов является создание собственной системы PKI с локальным центром сертификации. Создать его можно, например, с помощью OpenSSL, для которого существует множество инструкций в Интернете. В сети Microsoft Windows Active Directory Network можно сконфигурировать сервер Windows Server как корпоративный центр сертификации и настроить автоматическое принятие сертификатов клиентами.
3. Вручную подтверждать доверие к самоподписанным сертификатам.
В небольших неуправляемых сетях можно принимать самоподписанные сертификаты вручную. Тот же OpenSSL позволяет сгенерировать SSL сертификат самому. Если Вы пользуетесь сервером Microsoft IIS, Вы можете воспользоваться нашей инструкцией по созданию SSL сертификата. Если количество пользователей сервиса с самоподписанным сертификатом невелико, они могут вручную принимать эти сертификаты, предварительно проверив содержащуюся в них информацию.