Uitfasering interne domeinen

16 oktober 2014

Per 1 november 2015 is het gebruik van interne domeinen in SSL certificaten niet meer toegestaan. Onder andere de browserfabrikanten beschouwen dit als onveilig.

Wat is er aan de hand?

Certificaten die u na 31 oktober 2014 aanvraagt en een interne domeinnaam bevatten, zullen tot en met 31 oktober 2015 geldig zijn. Per 1 november 2015 is het opnemen van een interne domeinnaam zoals een servernaam of .local namelijk niet meer toegestaan.

Interne domeinnamen worden vooral gebruikt op Exchange servers. Een interne verbinding die gebruik maakt van een publiek vertrouwd certificaat moet een publieke en verifieerbare domeinnaam gebruiken. Dit geldt ook als de applicatie alleen intern gebruikt wordt. Vervang dus bij voorkeur bij het upgraden van de exchange server direct de interne domeinnamen voor reguliere domeinnamen.

Wat kan ik doen?

Als u gebruik maakt van interne domeinen kunt u het volgende doen:

  • Een multidomein certificaat met organisatie validatie aanvragen of verlengen. Deze kunt u dan nog tot en met 31 oktober 2015 zonder problemen gebruiken. Als dit certificaat na 1 november 2014 wordt aangevraagd, zal de de geldigheidsduur korter dan een jaar zijn. Dit wordt niet verrekend in de prijs. U betaalt dus wel het standaard jaartarief. U kunt het certificaat tijdens de looptijd wel altijd opnieuw laten uitgeven zonder de interne domeinen, waardoor het certificaat weer de volledige looptijd zal hebben.
  • Exchange aanpassen zodat zij gebruikmaken van een publiek domein in plaats van een intern domein.


Hoe zit het met mijn huidige certificaat?

Interne domeinnamen zijn tot 1 november 2015 toegestaan. Echter alleen in multidomein certificaten met organisatie validatie. Certificaten met interne domeinen waarvan de einddatum na 31 oktober 2015 ligt, zijn na deze datum niet meer te gebruiken.

Wat gebeurt er bij verlengingen?

Bij een verlenging wordt standaard de resterende looptijd van het oude certificaat bij het nieuwe certificaat opgeteld. Dit geldt voor maximaal 90 dagen. Als u een certificaat met interne domeinen wilt verlengen, geldt deze verlenging tot maximaal 31 oktober 2015. Eventuele extra dagen vervallen dan automatisch. Om de extra dagen te behouden kunt u het certificaat verlengen zonder interne domeinen.

Waarom zijn interne domeinen niet langer toegestaan?

Het CA/Browser Forum is een samenwerkingsverband tussen een groot aantal CA's en browserfabrikanten. In 2012 hebben zij bepaald dat het per november 2015 niet meer mogelijk is om een interne domeinnaam te gebruiken in een SSL certificaat. De reden hiervoor is dat interne domeinnamen (zoals .local) niet uniek zijn en het risico op misbruik daarom groter is.

point up