内部名

関連警告

"証明書のコモンネームまたはサブジェクトの別名に内部名が含まれています。"

問題

業界基準では、認証局 (CA) が内部名に証明書を発行することを禁止しています (「内部サーバ名の SSL 証明書」を参照してください)。内部名とは、プライベートネットワークの一部である IP アドレスまたはドメインです (「RFC 2606」を参照してください)。内部名は、外部確認できないため、それでは認証を完了できません。

内部名の例

  • 以下のような非パブリックドメインサフィックスのいずれかが入ったサーバ名:
    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .internal
  • NetBIOS 名や短いホスト名、例えば、Web1、ExchCAS1、あるいは Frodo など、パブリックドメインのないもの
  • RFC 1918 レンジの IPv4 アドレス
  • RFC 4193 レンジの IPv6 アドレス

また、一意ではない内部名は、悪意ある誤用の発生可能性が多分にあります。例えば、CA は、https://mail/ について、会社にパブリックトラスト証明書を発行することができます。この名前は一意の名前ではないため、他者が https://mail/ で証明書を取得することができます。

対処方法

お客様が内部名を使用するサーバ管理者である場合、それらのサーバを再構成してパブリック名を使用するか、内部認証局が発行した証明書に切り替えます。パブリックトラスト証明書が必要なすべての内部接続は、公開され検証可能な名前から行う必要があります(それらのサービスが一般アクセス可能かどうかは関係ありません)。

お客様の環境にあるアプリケーションによって異なりますが、アプリケーションに内部名が必要にならないように再構成することができる場合があります。

案内

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.