Skip to main content

内部名

関連する警告

「証明書のコモンネームまたはサブジェクトの別名に内部名が含まれています。」

問題

業界標準は、認証局(CA)が内部名に対する証明書を発行することを禁止しています(「内部サーバー名に対するSSL/TLSサーバ証明書」を参照してください)。内部名は、プライベートネットワークの一部であるIPアドレスまたはドメインです(「RFC 2606」を参照してください)。内部名を外部で認証することは不可能であるため、デジサートでそれらを検証することはできません。

内部名の例

  • 以下の非パブリックドメインサフィックスが使用されるサーバー名:

    • .test

    • .example

    • .invalid

    • .localhost

    • .local

    • .internal

  • NetBIOS名や短いホスト名など、パブリックドメインが使用されていないもの。例えば、Web1、ExchCAS1、またはFrodoなどです。

  • RFC 1918の範囲内にあるIPv4アドレス。

  • RFC 4193の範囲内にあるIPv6アドレス。

これらに加えて、一意ではない内部名は、悪意ある不正使用の対象となる可能性が非常に高くなります。例えば、CAはhttps://mail/に対するパブリック証明書を企業に発行することができますが、この名前は一意ではないため、https://mail/に対する証明書は他の誰でも取得できます。

ソリューション

内部名を使用するサーバー管理者である場合は、パブリック名を使用するようにそれらのサーバーを再設定するか、内部の認証局が発行する証明書に切り替える必要があります。パブリック証明書を必要とするすべての内部接続は、パブリックかつ認証可能な名前を使用して行われる必要があります(これらのサービスが一般アクセス可能かどうかは関係ありません)。

環境内にあるアプリケーションによっては、内部名を必要としないようにアプリケーションを再設定できる場合もあります。