SSL certificaten voor interne domeinen

Vanaf 1 november 2015 worden certificaten voor interne domeinnamen niet meer vertrouwd. De mogelijke consequenties leggen we hier uit.

Wat is een interne domeinnaam?

Een interne domeinnaam is een domeinnaam of IP-adres dat onderdeel is van een intern netwerk. Bijvoorbeeld een domeinnaam met een niet-publieke uitgang (TLD), zoals servernaam.local of servernaam.lan.

Wat is de aanleiding?

De browserfabrikanten zoals Microsoft en Mozilla vinden het gebruik van interne domeinen in SSL certificaten onveilig. Interne servernamen zijn niet uniek en kunnen daarom eenvoudig vervalst worden. Hierdoor ontstaat de mogelijkheid van een 'man-in-the-middle' aanval. Met veel voorkomende namen als server001 of webmail weet de gebruiker nooit zeker met wie hij te maken heeft. Is het de juiste partij of een kwaadwillende. De browsers hebben daarom samen met de CA's in het CA/Browser Forum nieuwe richtlijnen voor certificaatuitgifte opgesteld. De richtlijnen zijn van kracht per 1 juli 2012. De partijen die CA's wereldwijd certificeren, ETSI en WebTrust, hebben de richtlijnen per januari 2013 ook overgenomen. Daarom zal iedere CA zich moeten conformeren aan de volgende uitgangspunten:

  • Een Multidomein certificaat met daarin een interne domeinnaam en aangevraagd ná 1 juli 2012, heeft als maximale einddatum 31 oktober 2015. Na 31 oktober 2014 is het nog wel mogelijk een publiek vertrouwd certificaat aan te vragen voor een domein dat niet geverifieerd kan worden, maar wel met 31 oktober 2015 als einddatum. De geldigheidsduur kan hierdoor minder dan een jaar zijn.
  • Per 1 oktober 2016 trekken CA's alle nog actieve certificaten (uitgegeven voor 1 juli 2012) die interne domeinnamen bevatten in.

Nieuwe aanvragen

Het is niet meer mogelijk een nieuw certificaat aan te vragen met een intern domein. Afhankelijk van het aantal (sub)domeinen kun je voor Exchange een regulier SSL certificaat (wildcard of multidomein) gebruiken.

Certificaat aanvragen

Reeds uitgegeven certificaten

Als je een certificaat met een intern domein hebt dat is uitgegeven vóór 1 juni 2012 kun je dit certificaat (afhankelijk van de looptijd) blijven gebruiken tot 1 oktober 2016.

Applicaties aanpassen

Alle interne verbindingen die een publiek vertrouwd certificaat nodig hebben moeten gebruik gaan maken van een publiek en verifieerbaar domein, ook als de applicatie alleen intern gebruikt wordt. Gebruik zo min mogelijk interne namen en vervang bij het upgraden van een Exchange server direct de interne domeinnamen voor reguliere domeinnamen.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.