Después de 1 de Noviembre 2015 Certificados para Nombres Interno no Serán Confiados

En noviembre de 2011, el Foro de CA/Browser (CA/B) adoptó requisitos de base para la emisión y gestión de certificados públicos de confianza que entraron en vigor el 1 de julio de 2012. Estos requisitos dicen:

"A partir de la fecha de vigencia de estos requisitos, antes de la emisión de un certificado con un Nombre Alternativo del Sujeto (SAN) extensión o campo Nombre Común del Sujeto que contiene una Dirección IP Reservada o Nombre Interno de Servidor, la Autoridad de Certificados (CA) notificará al solicitante que el uso de este tipo de certificados se ha desaprobado por el Foro CA/Browser y que la práctica será eliminado por octubre de 2016. También a partir de la fecha efectiva, la CA no emitirá un certificado con una fecha de caducidad a más tardar de 01 de noviembre 2015 con un SAN o Nombre Común del Sujeto que contiene una Dirección IP Reservada o Nombre Interno de Servidor. A partir del 01 de octubre 2016, la CA deberá revocar todos los Certificados no vencidos."

Fondo

El Foro CA/B es un esfuerzo de colaboración entre Autoridades de Certificados (empresas como DigiCert® que emiten certificados públicos de confianza) y navegadores web (empresas como Mozilla o Microsoft que facilitan conexiones seguras).

Debido a estas nuevas exigencias, Autoridades de Certificados (CA) deben comenzar inmediatamente para eliminar la emisión de Certificados SSL para nombres internos del servidores o direcciones IP reservadas y eliminar (revocar) los certificados que contienen nombres internos antes de octubre 2016. Además, los requisitos de base evitan las Autoridades de Certificados de emitir certificados con nombres internos que expiran después del 1 noviembre 2015. Después de 2015 no se podrá obtener un certificado público de confianza para cualquier nombre de host que no puede ser verificada externamente.

Estos requisitos básicos también se están incorporando en las normas de auditoría internacionales. Se incluyeron en el WebTrust y normas de auditoría del ETSI para CAs el 1 de enero de 2013. Una vez adoptados los requisitos, los navegadores requerirán certificación de los auditores que una CA cumple con los requisitos básicos antes de renovar su certificado raíz.

¿Qué es un Nombre Interno?

Un nombre interno es un dominio o dirección IP que es parte de una red privada. Algunos ejemplos comunes de nombres internos son:

  • Cualquier nombre de servidor con un nombre de sufijo de dominio no público. Por ejemplo, www.contoso.local o servidor1.contoso.internal.
  • Nombres NetBIOS o nombres cortos, cualquier cosa sin un dominio público. Por ejemplo, Web1, ExchCAS1, o Frodo.
  • Cualquier dirección IPv4 en el rango RFC 1918.
  • Cualquier dirección IPv6 en el rango RFC 4193.

¿Qué Significa esto para Usted?

Si usted es un administrador de servidores usando nombres internos, es necesario volver a configurar esos servidores para utilizar un nombre público, o cambiar a un certificado emitido por una CA interna antes de la fecha límite de 2015. Todas las conexiones internas que requieren un certificado público de confianza se debe hacer a través de nombres que son públicos y verificables (no importa si esos servicios son de acceso público).

Tenga en cuenta que en junio de 2011, la ICANN aprobó el Nuevo Programa de Dominio Genérico de Primer Nivel (gTLD), que permite a las organizaciones, individuos, y gobiernos a aplicar para los nombres de primer nivel. Esto afectará a muchos de los Certificados SSL para nombres internos antes de la fecha de vencimiento. Leer más sobre los nuevos gTLDs y cómo le pueden afectar.

Reconfigurar las Aplicaciones que no Requieren Nombres Internos

Dependiendo de las aplicaciones de su entorno, es posible que pueda volver a configurarlos para no requerir nombres internos. Y, dado que el uso más común de nombres internos es en entornos de Exchange, DigiCert desarrolló una gratis Herramienta de Nombres Internos para Microsoft Exchange. Esta herramienta está diseñada específicamente para ayudarle a reconfigurar el AutoDiscover interno de Exchange y los puntos de conexión y los puntos de conexión de servicio para utilizar nombres públicos. Usted no necesita un certificado DigiCert para utilizar la herramienta. Alternativamente, se puede completar el proceso de forma manual siguiendo las instrucciones de esta página.