28/03/2018 Eliminar gradualmente nomes de intranet e endereços IP nos SSL | Certificados de SSL ­ Ajuda da GoDaddy PT

Eliminar gradualmente nomes de intranet e

endereços IP nos SSL
A comunidade de segurança da Internet está a eliminar gradualmente a utilização de nomes de intranet e
endereços IP como nomes de domínio principais ou SAN (nomes alternativos) nos certificados de SSL. É uma
decisão a nível da indústria e não específica da empresa.

A partir de 1 de julho de 2012, não aceitamos novos pedidos, recodificações nem renovações de certificados
de SSL que contenham nomes de Intranet ou endereços IP e são válidos após 1 de novembro de 2015. Além
disso, não suportamos certificados de SSL que protejam endereços IP públicos ou endereços IPv6.

Um nome de intranet é o nome de uma rede privada, tal como server1, mail ou server2.local, que os
servidores de nome de domínio (DNS) públicos não conseguem aceder. Um endereço IP é uma cadeia de
números, tal como 123.45.67.890, que define a localização de um computador.

Porquê a alteração?

Para criar um ambiente online mais seguro, os membros do Certificate Authorities Browser Forum reuniram­
se para definir diretrizes de implementação de certificados de SSL. Como resultado, a partir de 1 de outubro
de 2016, as autoridades de certificação (CA) devem revogar os certificados de SSL que utilizem nomes de
intranet ou endereços IP.

Em resumo, esta alteração aumenta a segurança. Uma vez que os nomes de servidor interno não são únicos,
estão vulneráveis a ataques man­in­the­middle (MITM). Num ataque MITM, o atacante utiliza uma cópia do
certificado verdadeiro ou um certificado duplicado para intercetar e voltar a transmitir mensagens. Como os
CA emitem vários certificados para o mesmo nome interno, um atacante pode efetuar um pedido válido de
certificado duplicado e utilizá­lo no MITM.

Para ler as diretrizes do CA/Browser Forum, clique aqui.

Que ação necessito de tomar?

Se tiver um certificado existente que contenha um nome de intranet ou um endereço IP, pode continuar a
utilizar esse certificado até expirar ou até 1 de outubro de 2016, o que ocorrer primeiro. Neste momento, só é
possível renovar estes certificados por um período de um ano.

Avançando, deve procurar soluções alternativas para proteger os seus nomes de intranet. Por outras
palavras, em vez de proteger endereços IP e nomes de intranet, deve reconfigurar servidores de modo a
utilizarem nomes de domínio totalmente qualificado (FQDN), tais como www.excelenteexemplo.com.

Por exemplo, pode criar o seu próprio pedido de assinatura de certificado (CSR) e utilizá­lo para assinar o seu
certificado de SSL. Ou, se utilizar Microsoft® Exchange Server, pode reconfigurar a deteção automática
interna para utilizar um FQDN. Para obter instruções, consulte

https://pt.godaddy.com/help/eliminar­gradualmente­nomes­de­intranet­e­enderecos­ip­nos­ssl­6935 1/1