Вытащу ка я одну старую новость. Возможно не все об этом знают.

Существует некоторая общественная организация CA/Browser Forum, которая включает в себя большое количество поставщиков сертификатов и производителей браузеров. Цель существования данной организации выходит за рамки этой заметки. Более интересен документ, рождённый членами данной организации, который можно посмотреть здесь. Из названия документа (Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates) можно сделать вывод, что представляет он собой некоторое джентельменское соглашение о том, как должна выглядеть процедура выпуска и управления сертификатами внешними поставщиками сертификатов. Учитывая, что в организации участвуют и производители софта (в частности браузеров), то де-факто джентельменское соглашение рискует перерасти в некий стандарт.

Не менее интересно то, что этот документ может повлиять на процесс проектирования архитектуры Active Directory, Exchange Server, Lync Server. Теперь имеет смысл посмотреть на те тонкие моменты, которые уже имеет смысл учитывать про проектировании. Документ говорит:

9.2.1 Subject Alternative Name Extension

Certificate Field: extensions:subjectAltName

Required/Optional: Required

Contents: This extension MUST contain at least one entry. Each entry MUST be either a dNSName containing the Fully-Qualified Domain Name or an iPAddress containing the IP address of a server. The CA MUST confirm that the Applicant controls the Fully-Qualified Domain Name or IP address or has been granted the right to use it by the Domain Name Registrant or IP address assignee, as appropriate.

Wildcard FQDNs are permitted.

As of the Effective Date of these Requirements, prior to the issuance of a Certificate with a subjectAlternativeName extension or Subject commonName field containing a Reserved IP Address or Internal Server Name, the CA SHALL notify the Applicant that the use of such Certificates has been deprecated by the CA / Browser Forum and that the practice will be eliminated by October 2016. Also as of the Effective Date, the CA SHALL NOT issue a certificate with an Expiry Date later than 1 November 2015 with a subjectAlternativeName extension or Subject commonName field containing a Reserved IP Address or Internal Server Name. Effective 1 October 2016, CAs SHALL revoke all unexpired Certificates whose subjectAlternativeName extension or Subject commonName field contains a Reserved IP Address or Internal Server Name.

9.2.2 Subject Common Name Field

Certificate Field: subject:commonName (OID 2.5.4.3)

Required/Optional: Deprecated (Discouraged, but not prohibited)

Contents: If present, this field MUST contain a single IP address or Fully-Qualified Domain Name that is one of the values contained in the Certificate’s subjectAltName extension (see Section 9.2.1).

Значит это следующее:

  • Поле SAN теперь обязательно для всех сертификатов и должно содержать как минимум одну запись (FQDN или IP). Кроме этого:
    • Компания, выпускающая сертификат обязана проверять, что указанный FQDN/IP может использоваться клиентом. Делается это обычно через письмо на адрес, указанный в WHOIS для домена или через телефонный звонок.
    • Компания, выпускающая сертификат должна предупредить, что использование внутренних IP/FQDN в поле SAN с октября 2016 года не допускается. Все сертификаты с такими именами будут отозваны 1 октября 2016 года.
    • Компания, выпускающая сертификат не должна выпускать сертификаты с внутренними IP/FQDN в поле SAN, срок жизни которых истекает 1 ноября 2015 года и позднее.
  • Поле Subject Name в обозримой перспективе рискует исчезнуть совсем.

Говоря русским языком, скоро уже не получится запросить сертификат с именами из зон .local, .domain, .corp и тд. в поле SAN у внешних поставщиков сертификатов. Таким образом, если существует необходимость использования внутренних имён серверов во внешних сертификатах, придётся пересматривать архитектуру существующих систем.