Kann ich ein Zertifikat für einen Intranetnamen oder eine IP-Adresse anfordern?
Nein - Zertifikatsanforderungen für Intranetnamen oder IP-Adressen werden nicht mehr akzeptiert. Dies ist ein branchenweiter Standard, kein spezifischer für GoDaddy.
Im Folgenden finden Sie Beispiele für die Typen „allgemeiner Namen“, für die Sie keine Zertifikate anfordern können:
Typ | Beispiel |
---|---|
Intranet | server1 , mail , server2.local |
IPv4 | 192.1.2.3 |
IPv6 | fe80: 4: 6c: 8c74: 0000: 5efe: 109.21 |
Warum gibt es diese Richtlinie?
Um eine sichere Online-Umgebung zu schaffen, haben Mitglieder des Certificate Authorities Browser Forum Implementierungsrichtlinien für SSL-Zertifikate festgelegt. Resultierend daraus müssen Zertifizierungsstellen ab dem 1. Oktober 2016 alle SSL-Zertifikate, die Intranetnamen oder IP-Adressen verwenden, aufkündigen.
Kurzum: Diese Richtlinie erhöht die Sicherheit. Da interne Servernamen nicht eindeutig sind, sind sie anfällig für MITM-Angriffe (Man-in-the-Middle). Bei einem MITM-Angriff verwendet der Angreifer eine Kopie des tatsächlichen Zertifikats oder ein doppeltes Zertifikat, um Nachrichten abzufangen und erneut zu übertragen. Da Zertifizierungsstellen mehrere Zertifikate für den gleichen internen Namen ausstellen, kann ein Angreifer eine gültige Anforderung für ein doppeltes Zertifikat anfordern und es für das MITM verwenden.
Die Richtlinien des CA/Browser Forum finden Sie hier.
Welche Alternativen habe ich, wenn ich eine IP-Adresse verwenden möchte?
Anstatt IP-Adressen und Intranetnamen zu sichern, sollten Sie Server für die Verwendung von voll qualifizierten Domainnamen (FQDNs) wie www.coolexample.com neu konfigurieren .
Nachdem Sie einen FQDN so konfiguriert haben, dass er auf Ihre IP-Adresse verweist, können Sie einen CSR für den Domainnamen generieren und dann Ihr Zertifikat anfordern.
Nächster Schritt
- Nachdem Sie eine Domain auf Ihre IP-Adresse verweisen, können Sie eine CSR für diese Domain anfordern