Nombres internos

Advertencia relacionada

"El nombre común o los nombres alternativos del sujeto del certificado contienen un nombre interno."

Problema

Los estándares de la industria prohíben que las Autoridades de certificados (CA) emitan certificados con nombres internos (vea Certificados SSL para nombres internos de servidor). Un nombre interno es una dirección IP o un dominio que es parte de una red privada (vea RFC 2606). La validación no puede completarse para los nombres internos porque no pueden verificarse externamente.

Ejemplos de nombres internos

  • Nombres de servidores con cualquiera de estos sufijos de dominio no públicos:
    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .internal
  • Todo aquello sin un dominio público, como nombres NetBIOS o nombres de host cortos, por ejemplo, Web1, ExchCAS1 o Frodo
  • Cualquier dirección IPv4 en el intervalo RFC 1918
  • Cualquier dirección IPv6 en el intervalo RFC 4193

Asimismo, los nombres internos no únicos tienen mucho potencial para el uso indebido malicioso. Por ejemplo, una CA le puede emitir un certificado con confianza pública a una compañía para https://mail/. Dado que este nombre no es un nombre único, alguien más puede obtener un certificado para https://mail/.

Solución

Si es administrador de servidor y usa nombres internos, debe volver a configurar esos servidores para usar un nombre público o cambiar a un certificado emitido por una Autoridad de certificados interna. Todas las conexiones internas que necesitan un certificado con confianza pública deben hacerse a través de nombres que son públicos y verificables (no importar si esos servicios son públicamente accesibles).

Según las aplicaciones de su entorno, es posible que pueda volver a configurar la aplicación para que no necesite nombres internos.