SSL 憑證 說明

淘汰不用的內部網路名稱和 SSL 內的 IP 位址

互聯網安全社區正逐步淘汰使用內聯網名稱和 IP 地址作為 SSL 憑證內的主要網域名稱或主題備用名稱(SAN)。 這是一個全行業的決定,而非我們公司的單一方向。

在我們仍然接受使用 IP 位址或內部名稱的憑證要求時,這些憑證已於 2015 年 11 月 1 日到期。 此外,我們不支持安全的公用 IP 地址或 IPv6 地址的 SSL 憑證。

內聯網名是專用網絡,如 伺服器1郵件server2.local的名稱,是公共網域名稱伺服器(DNS)無法存取的。 一個IP地址是一串數字,如 123.45.67.890,就是一台電腦的位置。

為甚麼要更改?

為創造一個更安全的網絡環境,認證授權瀏覽器論壇 的成員將開會,為SSL憑證的實施準則定義。 結果,第三方憑證管理中心(CAs)必須撤銷該使用內聯網的名稱或 IP 地址的 SSL 憑證,由2016年10月1日起生效。

總之,這一變化增加了安全性。 由於內部伺服器名稱不是唯一,他們很容易受到中間人(MITM)攻擊。 在一個 MITM 攻擊中,攻擊者使用真憑證的副本或憑證複印件攔截和轉發消息。 由於第三方憑證管理中心發出多個擁有相同內部名稱的憑證,攻擊者可以申請一份憑證複印件,並將之使用在 MITM。

要讀取CA/瀏覽器論壇的指導方針,請 點擊這裡

我需要採取甚麼行動?

如果您有一個包含內聯網名稱或 IP 地址的現有憑證,便可繼續使用,直到期滿或直至2015年11月1日,以先到期限者為準。 這時,您只能為這些憑證續期一年。

展望未來,必須尋求其他的解決方案,以確保您的內聯網名稱。 換句話說,您應該重新設定伺服器去使用「全合格的網域 名稱(FQDN)」,如 www.coolexample.com,而非保留IP地址和內聯網名稱。

例如,您可以創建自己的憑證簽名申請(CSR),並用它來簽署SSL憑證。 或者,如果您是 Microsoft®Exchange 伺服器的用家,您可以重新設定其內部的 AutoDiscover,以使用 FQDN。 如需相關指示,請參閱


這篇文章有用嗎?
感謝您的意見回饋
很高興能幫上忙! 還有什麼可幫您的嗎?
很抱歉有這種情形。 我們如何能提供更多協助?