Das Ende von .local und anderen TLD in SSL Zertifikaten

Veröffentlicht am von

Mit dem 1. November 2015 wird internen Hostnamen nicht mehr vertraut. Was bedeutet dies für den Gebrauch von SSL Zertifikaten in solchen Umgebungen und welche Lösungen gibt es

Pressemeldung der Firma icertificate GmbH

Es ist schon über 2 Jahre her, da übernahm das CA/Browser Forum Grundvoraussetzungen, die für die Ausstellung von Zertifikaten zu gelten haben. Diese traten im Juli 2012 in Kraft.

In dieser Regelung wurde unter anderem festgehalten, dass SANs und das Betreff (genauer der Commonname im Subject) keine reservierten IP Adressen oder interne Servernamen enthalten dürfen. Als effektives Datum für die Umsetzung wurde der 31. Oktober 2015 festgehalten. Seit dem dürfen keine Zertifikate mehr ausgegeben werden, deren Auslaufdatum hinter diesem Zeitpunkt liegt. Alle Zertifikate die zuvor ausgestellt wurden und länger gültig wären, sollen mit dem 01. Oktober 2016 von den CA widerrufen werden.

Das stellt speziell Anwender vor ein Problem, die den Standard Vorgaben bei der Installation Ihrer MS Exchange Umgebung folgten. Hier, aber auch in anderen Anwendungsbereichen wurde für interne Zwecke oft die .local Domain oder auch andere TLD verwendet, die für den internen Gebrauch explizit vorgesehen wurde.

Um dieser Herausforderung zu begegnen, ist es notwendig eine Split DNS Lösung zu implementieren. Split-DNS zielt dabei darauf ab, die Hostnamen für Autodiscover und andere Exchange-spezifische Dienste intern mit anderen Adressen aufzulösen, als dies ausserhalb des Intranets der Fall wäre. Auf diese Weise sind die Dienste auch im Intranet über reguläre Servernamen erreichbar, so dass die .local Hostnamen verworfen werden werden können.

Gegebenenfalls kann es darüber hinaus notwendig sein, den Exchange-Server um zu konfigurieren, so dass die intern nun korrekt auflösenden Hostnamen von den Exchangediensten auch verwendet werden. Dies geschieht seit Exchange 2007 über die dafür vorgesehenen Commandlets.

Die detailliertere Vorgehensweise sowie eine Auswahl von verschiedenen Exchange kompatiblen SSL Zertifikaten finden Sie bei icertificate.



Firmenkontakt und Herausgeber der Meldung:
icertificate GmbH
Nordstrasse 73a
53111 Bonn
Telefon: +49 (228) 90907050
Telefax: +49 (228) 90907030
https://icertificate.eu

Ansprechpartner:
Henning Eiden
CEO
+49 (228) 90907050



Dateianlagen:
    • © shockfactor.de - Fotolia.com
Die icertificate GmbH ist ein führender Distributor für digitale Verschlüsselung. Das Unternehmen bietet privaten wie gewerblichen Webseitenbetreibern günstige Konditionen für namhafte SSL-Zertifikate, PKI, Emailsignaturen und Trust-Seals. Das heutige Angebot umfasst unter anderem Produkte von Symantec, GeoTrust, Comodo, DigiCert, Thawte, GlobalSign, RapidSSL und AlphaSSL.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.