CANN(互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構)發(fā)布了一個安全公告，強調(diào)SSL(加密套接字協(xié)議層)證書對于不合格擴展的內(nèi)部域名的重要性。什么是一個不合格擴展的域名呢?它會帶來哪些風險?為什么ICANN認為SSL證書可以防御這個風險呢?

DNS(域名系統(tǒng))是用于命名連接到Internet的計算機、服務器和任意其它資源的系統(tǒng)。比如www.mycompany.com這個主機名是由三個DNS標簽組成的：“www”是本地主機名，“mycompany”是二級域名，“.com”是頂級域名。當一個主機名的所有標簽都是明確指定，并且至少有一個公共路由的IP地址與其相關聯(lián)時，這個主機名就是完全合格的域名。主機名“www.mycompany.com”可以通過本地主機文件或一個DNS解析程序翻譯成一個IP地址。

組織通常會用一些不合格的域名，如“郵件”、“維基”、“交換”等詞，在他們的本地網(wǎng)絡上來識別機器，這樣用戶通過輸入組織內(nèi)部資源的簡短名稱就可以搜索到該組織。這些人類可識別的本地主機名相對于IP地址來說也更容易記憶和識別。如果這些主機沒有一個公網(wǎng)IP地址，他們就被視為沒有合格的域名。

電子前沿基金會(EFF)發(fā)現(xiàn)，CA(證書授權中心)為數(shù)以千計的用于在本地企業(yè)網(wǎng)絡中識別機器的常見不合格域名簽發(fā)了合法證書。這樣就造成了一個安全問題，因為公開可信的CA頒發(fā)的數(shù)字證書是意味著該主機名可以唯一識別整個因特網(wǎng)中的一個資源，而這些不合格的域名不是唯一的，任何人都可能獲得一個認證https://mail或https://wiki的證書。

如果一個攻擊者獲得了不合格域名“郵件”的證書，那么這個證書就可以在瀏覽器或者操作系統(tǒng)信任存儲中鏈接到一個CA中心，攻擊者可以將這個證書使用在對一個叫“郵件”的內(nèi)部網(wǎng)絡中的任意郵件服務器的中間人攻擊中，這個證書就是一個完美的身份偽造。攻擊者和服務器的連接看起來是很正常的，而且證書檢查會顯示攻擊者的證書是由一個公開可信的CA或者私人企業(yè)范圍的CA所發(fā)行。

由于各種CA中心同樣為內(nèi)部域名簽發(fā)了一些不合格的擴展名，這個問題就變得更糟糕了。例如，“.corp”的域名擴展已經(jīng)用于很多私人企業(yè)網(wǎng)絡內(nèi)部，但是“.corp”這個擴展名目前正被考慮未來作為一個gTLD(通用頂級域名)。如果新的gTLD開始運作，那么之前為“.corp”所頒發(fā)的證書還有其它新的gTLD就可以從真正的域名重定向到一個用戶。

為了解決這個問題，CA/B論壇，一個證書授權中心和Web瀏覽器生產(chǎn)商組織,要求他們的CA成員不再向2015年11月1日之前到期的內(nèi)部服務器名字頒發(fā)類似新的證書。2016年10月1號，所有CA中心預期將撤銷剩下的仍在有效期的所有這類內(nèi)部服務器域名證書，永久停用此類證書。但是直到2016年10月，新的gTLD仍存在潛在漏洞。

企業(yè)管理員可以通過不使用不合格證書訪問內(nèi)部資源來打擊中間人攻擊帶來的風險。例如，一個郵件服務器只能通過完全合格域名https://mail. mycompany.com/來訪問，而不能通過https://mail/.來訪問。企業(yè)發(fā)行證書應該使用它們自己私人的CA中心，如微軟證書服務器，不應該為不合格域名和私人的，不可路由的IP地址簽發(fā)證書，并應該撤銷現(xiàn)有的這類不合格證書。