SSLでのイントラネット名とIPアドレスの段階的使用停止

インターネットセキュリティの世界においては、SSL証明書のプライマリドメイン名やサブジェクトの別名(SAN)としてイントラネット名やIPアドレスを使用することを段階的に廃止する傾向にあります。 これは当社にかぎらず業界全体での傾向です。

IPアドレスまたはイントラネット名を使用した証明書の新規要求の受け付けは、2015年11月1日をもって終了します。 また、パブリックIPアドレスやIPv6アドレスをセキュリティ保護するSSL証明書はサポートしていません。

イントラネット名は、パブリックドメインネームサーバー(DNS)がアクセスできないプライベートネットワークの名前(server1mailserver2.localなど)です。 IPアドレスは数値を並べた文字列(123.45.67.890など)で、コンピュータの場所を表します。

なぜこのように変更されたのですか。

オンライン環境をより安全なものにするため、CAブラウザフォーラムのメンバーの協議によりSSL証明書の導入に関するガイドラインが定められました。 その結果、証明機関(CA)はイントラネット名またはIPアドレスを使用するSSL証明書を2016年10月1日以降廃止することになりました。

この変更により、セキュリティが向上することになります。 内部サーバー名は一意ではないため、MITM(man-in-the-middle)攻撃に対してぜい弱です。 MITM攻撃では、攻撃者は実際の証明書のコピーまたは複製を使用してメッセージの遮断と再送信を行います。 CAは同じ内部名に対して複数の証明書を発行するため、攻撃者は証明書の複製を正当に要求し、MITMに使用することができます。

ここをクリックすると、CAブラウザフォーラムのガイドラインを閲覧できます。

何をすればよいですか。

イントラネット名またはIPアドレスを使用する証明書がすでにある場合、有効期限と2015年11月1日のうち早い方の日付までその証明書を使用することができます。 現時点では、これらの証明書は1年単位でしか更新できません。

今後のため、イントラネット名をセキュリティ保護するための別の方法を採用する必要があります。 具体的には、IPアドレスとイントラネット名をセキュリティ保護するかわりに、サーバーがwww.coolexample.comなどの完全修飾ドメイン名(FQDN)を使用するよう設定しなおします。

たとえば、独自の証明書署名要求(CSR)を作成し、SSL証明書の署名に使用することができます。 また、Microsoft® Exchange Serverを使用している場合、内部自動検出でFQDNを使用するよう設定しなおすこともできます。 手順については、「

」を参照してください。


この記事は役に立ちましたか。
フィードバックへのご協力ありがとうございました。 お客様サービススタッフとお話しになりたい場合は、上記のサポート用電話番号またはチャット機能をご利用ください。
お役にたてて光栄です! 何か他にできることはありませんか。
それはすみません。 わかりにくい点や、解決策で問題が解決できなかった理由等を教えてください。