Interne Namen

Entsprechende Warnung

"Der allgemeine Name des Zertifikats oder die SANs (Subject Alternative Names) enthalten einen internen Namen."

Problem

Branchenstandards verbieten Zertifizierungsstellen Zertifikate für interne Namen auszustellen (siehe SSL-Zertifikate für interne Servernamen). Ein interner Name ist eine IP-Adresse oder Domäne, die Teil eines privaten Netzwerks ist (siehe RFC 2606). Eine Validierung kann für interne Namen nicht abgeschlossen werden, weil sie nicht extern überprüft werden können.

Beispiele für interne Namen

  • Servernamen mit einem dieser nicht-öffentlichen Domänensuffixen:
    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .internal
  • Alles, was keine öffentliche Domäne hat wie NetBIOS-Namen oder Kurznamen für Hosts, z. B. Web1, ExchCAS1 oder Frodo
  • Alle IPv4-Adressen im RFC 1918-Bereich
  • Alle IPv6-Adressen im RFC 4193-Bereich

Darüber hinaus haben nicht eindeutige interne Namen zu viel Potenzial für schädlichen Missbrauch. Beispiel: Eine CA kann ein öffentlich-vertrauenswürdiges Zertifikat für ein Unternehmen für https://mail/ ausstellen. Da dieser Name kein eindeutige Name ist, kann jeder andere ein Zertifikat für https://mail/ bekommen.

Lösung

Falls Sie ein Server-Admin sind, der interne Namen verwendet, müssen Sie diesen Server entweder so rekonfigurieren, dass er einen öffentlichen Namen verwendet, oder zu einem Zertifikat wechseln, von einer internen Zertifizierungsstelle ausgestellt wurde. Alle internen Verbindungen, die ein öffentlich-vertrauenswürdiges Zertifikat benötigen, muss durch Namen erfolgen, die öffentlich und nachvollziehbar sind (es spielt keine Rolle, ob diese Services öffentlich zugänglich sind).

Je nach den Anwendungen in Ihrer Umgebung können Sie die Anwendung so rekonfigurieren, dass sie keine internen Namen benötigt.