Interne Namen
Entsprechende Warnung
„Der allgemeine Name oder die SANs (Subject Alternative Names) eines Zertifikats enthalten einen internen Namen.“
Problem
Branchenstandards verbieten Zertifizierungsstellen, Zertifikate auf interne Namen auszustellen (siehe SSL-Zertifikate für interne Servernamen). Ein interner Name ist eine IP-Adresse oder Domäne, die Teil eines privaten Netzwerks ist (siehe RFC 2606). Interne Namen können nicht validiert werden, weil sie nicht extern überprüft werden können.
Beispiele für interne Namen
Servernamen mit einem dieser nicht-öffentlichen Domänensuffixen:
.test
.example
.invalid
.localhost
.local
.internal
Alles, was keine öffentliche Domäne hat wie NetBIOS-Namen oder Kurznamen für Hosts. Zum Beispiel Web1, ExchCAS1, oder Frodo.
Alle IPv4-Adressen im RFC 1918-Bereich.
Alle IPv6-Adressen im RFC 4193-Bereich.
Darüber hinaus haben nicht eindeutige interne Namen zu viel Potenzial für schädlichen Missbrauch. Beispiel: Eine CA kann ein öffentlich-vertrauenswürdiges Zertifikat für ein Unternehmen für https://mail/ ausstellen. Da dieser Name kein eindeutiger Name ist, kann jeder ein Zertifikat für https://mail/ bekommen.
Lösung
Falls Sie ein Server-Administrator sind, der interne Namen verwendet, müssen Sie diesen Server entweder so rekonfigurieren, dass er einen öffentlichen Namen verwendet, oder zu einem Zertifikat wechseln, von einer internen Zertifizierungsstelle ausgestellt wurde. Alle internen Verbindungen, die ein öffentlich-vertrauenswürdiges Zertifikat benötigen, muss durch Namen erfolgen, die öffentlich und nachvollziehbar sind (es spielt keine Rolle, ob diese Services öffentlich zugänglich sind).
Je nach den Anwendungen in Ihrer Umgebung können Sie die Anwendung so rekonfigurieren, dass sie keine internen Namen benötigt.