A distanza di 2 anni dall’approvazione del provvedimento sui certificati SSL locali (assegnati a domini interni) da parte del CA/Browser, si avvicinano le scadenze imposte a tutti coloro che hanno scelto la certificazione di domini locali tramite certificato SSL.
Si è scelto di non autorizzare più la certificazione di domini interni in quanto, in seguito alla creazione di moltissimi nuovi gTLD, la probabilità di collisione di nomi di dominio interni e pubblici è cresciuta notevolmente.
La guida redatta dal CA/Browser Forum spiega però come la decisione sia stata presa anche a causa dei potenziali problemi di sicurezza legati ai certificati utilizzati per esigenze interne:
Because non‐unique names cannot be meaningfully validated in the context of the public Internet, and because of the potential for malicious misuse of such certificates, the CA/Browser Forum has decided to cease issuing them after a grace period to allow affected usersto transition away from them.
A causa dell’impossibilità di validare nomi non univoci nell’ambito della rete Internet ed a causa dell’uso potenzialmente dannoso di questi certificati [locali n.d.r.] il CA/Browser Forum ha deciso di cessare la loro emissione dopo un periodo di transizione per permettere agli utenti di attuare le procedure necessarie.
La decisione è stata quindi data dall’esigenza di contrastare gli attacchi MITM (Man In The Middle) all’interno di reti private.
Scadenze
Le scadenze che riguardano i certificati SSL locali sono le seguenti:
- nessun certificato SSL per la messa in sicurezza di domini o indirizzi IP locali può essere emesso con data di scadenza successiva al 31 ottobre 2015;
- essendo i certificati SSL emessi con durata minima di un anno, nessuna CA (Certification Authority) potrà emetterne successivamente al 31 ottobre 2014;
- i certificati SSL per uso interno già attivi al 1 novembre 2014 rimarranno validi al massimo per 2 anni (quindi fino al 1 novembre 2016);
- dal 1 novembre 2015 non potranno più essere riemessi certificati già attivi, si consiglia quindi di salvarne una copia per risolvere in modo agevole eventuali problematiche legate ai server;
- dal 1 ottobre 2016 verranno revocati tutti i certificati SSL indipendentemente dalla data di scadenza.
Opzioni
Le opzioni a disposizione degli utenti che ancora utilizzano certificati SSL per domini ed indirizzi IP interni sono:
- richiedere una nuova emissione del certificato entro l’1 ottobre 2015 per evitare, qualora il dominio sia FQDN (Fully Qualified Domain Name), la revoca dello stesso in data 1 ottobre 2016;
- acquistare un nome a dominio pubblico e forzare la ricerca di suffissi per domini DNS nella rete interna (servizi come Microsoft Exchange o Outlook 2007 Autodiscovery dovranno essere impostati ad hoc per garantirne il funzionamento);
- generare in modo autonomo i certificai SSL ed installarli su tutti i dispositivi della rete locale, in questo modo anche la gestione della PKI (Private Key Infrastructure) sarà completamente interna (questa soluzione si rivela di difficile attuazione in reti di medie e grandi dimensioni).
