By Olivier on samedi 1 octobre 2016
Category: Actualités

01/10/2016 : Fin des certificats SSL pour les adresses internes

Dès le 1er Octobre 2016, les certificats SSL émis pour des adresses internes (tels que les domaines en .local ...) et adresses IP locales seront révoqués.
Ces adresses ne pourront plus être sécurisés à l'aide d'un certificat SSL. Découvrez ici la solution à moindre coût !

 

Quelles sont les adresses IP et noms internes concernés ?

Tous les certificats SSL n'utilisant pas de FQDN valide seront révoqués à compter du 1er Octobre 2016. Cela concerne donc :

- Un nom de serveur ne disposant d'une extension publique. Exemples : server.local ; server.internal
- Les noms NetBIOS, et autres adresses ne disposant pas d'un nom de domaine public. Exemples : Server1 ; Web ; Exchange ...
- Les adresses IPv4 et IPv6 réservés aux réseaux privés (RFC 1918 / 4193). Exemples : 10.0.0.0/8 ; 176.16.0.0/12 ; 192.168.0.0/12
- Et plus généralement toutes les adresses qui ne sont pas des FQDN (nom de domaine valide) ;

Pourquoi il est impossible d'obtenir un certificat SSL pour une adresse interne ?

A la demande du CA / Browser Forum, toutes les Autorités de Certification n'émettront plus de certificats SSL pour une adresse IP locale ou nom interne.
En effet, ces adresses locales sont faciles à falcifier et surtout, elles ne sont pas uniques. Le client ne peut en aucun cas être certain qu'il communique avec le bon serveur ce qui peut très facilement compromettre la sécurité SSL.

Il a donc été décidé qu'à compter du 1er Octobre 2016, les Autorités de Certification devront révoquer les certificats SSL contenant des noms internes ou des adresses IP locales tel que 192.168.0.0/12 ; 10.0.0.0/8 ...


La solution :

La seule et unique solution consiste à remplacer le nom interne / local par un vrai nom de domaine (ou sous-domaine).
Par exemple, vous pouvez remplacer "server.local" par "server.votre-entreprise.fr" car vous pourrez obtenir un certificat SSL pour cette adresse.

Où acheter un certificat SSL pas cher pour remplacer une adresse locale ?

Vous pouvez vous orienter vers un certificat SSL DV (à validation du domaine). Il sera souvent suffisant pour remplacer votre certificat SSL existant.

Si vous disposez de plusieurs certificats SSL pour des noms internes, vous pouvez également vous orienter vers un certificat SSL Wildcard.
L'avantage et qu'il permettra de sécuriser l'ensemble des noms internes si ceux-ci sont migrés vers des sous-domaine d'un vrai nom de domaine.
Exemples : server01.votre-entreprise.fr ; server02.votre-entreprise.fr ; exchange.votre-entreprise.fr ; webmail.votre-entreprise.fr ...

Vous trouverez ci-dessous deux certificats SSL DV proposés par Wistee.fr (pour 1 seule adresse et pour tous les sous-domaine d'un même nom de domaine).
En plus de vous fournir un certificat SSL pas cher, ils donnent tous les conseils utiles et peuvent vous aider à installer le certificat SSL sur vos serveurs.



  • Certificat SSL DV
  • https + cadenas de sécurité
    Autorité de Certification valide


  • 1 seule adresse : server.example.com
    25 € HT / an
  •  


  • Certificat SSL DV Wildcard
  • https + cadenas de sécurité
    Autorité de Certification valide


  • Sous-domaine illimités : *.example.com
    79 € HT / an
  •