Новые GTLD домены и SSL сертификаты

Внутренние сертификаты SSL представляют угрозу безопасности для предстоящих расширений доменных зон верхнего уровня. Использование непубличных доменных расширений довольно широко распространено и что использование выходит далеко за рамки цифровых сертификатов. Стремясь быстро выпускать новые gTLD, ICANN создает предсказуемые риски для безопасности и возлагает значительную нагрузку на организации, использующие внутренние сети. На протяжении многих лет организации всех типов полагались на доступность непубличных доменных расширений, таких как .mail, .corp, .local и другие в своих внутренних инфраструктурах. Несмотря на то, что CAB Forum не признает имена внутренних серверов, многие организации продолжают использовать .corp для внутренней сетевой маршрутизации.

Использование частных доменных расширений является распространенной практикой и даже рекламировалось как лучшая практика всего несколько лет назад. В течение двух десятилетий организации использовали частные домены для облегчения связи внутри сети. Когда ICANN планирует выпустить сотни новых доменов, эти организации должны бороться за изменение своих сетей и операций, что приводит к значительной и неожиданной стоимости. Некоторые новые gTLD будут иметь меньшее влияние, чем другие, однако некоторые расширения, например .corp особенно распространено и вызывает море проблем

Когда большинство новых gTLD регистрируются, сетевые администраторы должны понимать последствия этих делегаций и принимать активные меры для подготовки своих сетей для будущих событий. Вот несколько пунктов, которые нужно иметь в виду:

1. Администраторы должны часто анализировать сети и убедиться, что все системы настроены на использование полностью квалифицированных доменных имен. Многие члены CASC предлагают инструменты, предназначенные для того, чтобы помочь администраторам обнаруживать и перенастраивать системы, все еще используя внутренние имена.
2. Храните все внутренние сети в безопасности и не допускайте их обнаружения в Интернете. На самом деле удивительное количество внутренних сетей фактически доступно для публики. Это не только риск для безопасности, но и названия, используемые этими «протекающими» серверами, будут ограничены регистрацией, что может помешать будущей регистрации имени домена. Это ограничение может привести к возникновению трудностей с защитой бренда в новых делегированных gTLD и может сделать регистрацию домена невозможной до крайнего срока отзыва сертификата.
3. Сетевые администраторы должны использовать портал ICANN для сообщения потенциальных столкновений как можно скорее. Лучший способ избежать столкновений - сообщить ICANN, прежде чем делегировать gTLD.
4. Хотя наиболее распространенные внутренние имена постоянно сохраняются, ICANN скоро передаст несколько из более противоречивых имен, включая .mail, .exchange и .ads. Сетевые операторы должны обсудить существующие сертификаты с выдающим ЦС, чтобы обеспечить их надлежащую подготовку. Сертификаты будут аннулированы в течение 120 дней с даты публикации контракта ICANN-реестра. Список ICANN не является списком или датой, которую CA должен использовать для отзыва сертификата. Тесная работа с ЦС обеспечит, чтобы все сетевые администраторы имели самую последнюю информацию и знали о важных датах.
5. Независимо от делегирования ЦС не могут выдавать сертификаты SSL, содержащие внутреннее имя, если срок действия сертификата истекает позднее октября 2016 года. Однако по состоянию на 1 ноября 2015 г. ЦС больше не смогут выдавать сертификаты SSL с внутренним именем сервера. Администраторы должны убедиться, что у них есть достаточно времени, чтобы переместить все ресурсы в полное доменное имя или частную PKI задолго до даты в ноябре 2015 года, чтобы обеспечить плавный переход.

Всем сетевым администраторам как можно скорее нужно конвертировать свои внутренние сети и соответствующие сертификаты в FQDN.