Nomi interni

Avvertenza correlata

"Il nome comune o il nome alternativo soggetto del certificato contiene un nome interno."

Problema

Gli standard di settore impediscono alle autorità di certificazione (CA) di emettere i certificati a nomi interni (consulta Certificati SSL per i nomi server interni). Un nome interno è un indirizzo IP o un dominio che fa parte di una rete privata (consulta RFC 2606). La convalida non può essere completata per i nomi interni perché non può essere verificata esternamente.

Esempi di nomi interni

  • Nomi server con uno di questi suffissi di dominio non pubblici:
    • .test
    • .esempio
    • .nonvalido
    • .hostlocale
    • .locale
    • .interno
  • Qualsiasi cosa senza un dominio pubblico come i nomi NetBIOS o i nomi host corti, ad esempio Web1, ExchCAS1 o Frodo
  • Qualsiasi indirizzo IPv4 nell’intervallo RFC 1918
  • Qualsiasi indirizzo IPv6 nell’intervallo RFC 4193

Inoltre, i nomi interni non univoci hanno troppo potenziale per un cattivo utilizzo dannoso. Ad esempio, una CA può emettere un certificato attendibile pubblicamente per un’azienda per https://mail/. Poiché questo nome non è un nome univoco, chiunque può richiedere un certificato per https://mail/.

Soluzione

Se sei un amministratore server che usa nomi interni, devi riconfigurare quei server per usare un nome pubblico, o passa a un certificato emesso da un’autorità di certificazione interna. Tutti i collegamenti interni che richiedono un certificato attendibile pubblicamente devono essere effettuati tramite i nomi che sono pubblici e verificabili (non importa se quei servizi sono pubblicamente accessibili).

In base alle applicazioni nel tuo ambiente, puoi riconfigurare l’applicazione in modo da non richiedere nomi interni.