Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Certificat serveur dont le CN est un FQDN inexistant (intranet)

Nos clients nous demandent régulièrement des certificats serveur dont le CN est un nom (en lettres) qui ne correspond pas à un domaine officiellement déclaré. Pour mémoire, la liste des domaines racines officiels est disponible ici.

Les domaines non-officiels utilisés en interne par les société présentent un risque de sécurité puisqu'il est possible que 2 personnes différentes demandent un certificat pour le même CN. De plus, un domaine qui est non-officiel aujourd'hui peut devenir officiel demain, car il peut être "acheté", posant de nouveaux risques d'usurpation d'identité.

De ce fait, plusieurs autorités de certification refusent déjà de délivrer de tels certificats, et la norme impose une fin d'utilisation en 2015, en savoir plus. Exception faite pour les domaines réservés documentés dans la RFC 2606 (.test .example .invalid .localhost).

Nous recommandons donc d'éviter d'utiliser des domaines interne, et de modifier les domaines actuellement utilisés, voir Renommer un domaine active directory

Inscrire une adresse IP dans le champ CN du certificat ?

Par définition, le certificat sécurise / authentifie ce qui est inscrit dans le champs CN (Common Name). Ainsi, si l'on inscrit un nom de domaine bien qualifié, le serveur ou l'on installe le certificat n'est pas dépendant de l'adresse IP. Dans ce cas de figure, par exemple, l'accès au site web sera toujours valide que l'on s'y connecte par son adresse IP V4 ou son adresse IP V6 (ou même si le serveur est derrière un routeur avec une adresse IP de réseau local), pour peu que l'on y accède bien par son nom (nom inscrit dans l'ur du navigateur).

Évidement vous perdez cette indépendance si vous inscrivez une adresse IP dans votre certificat.

Inscrire une adresse IP privée dans votre certificat :

Mais pour la même raison que les FQDN intranet, nous le déconseillons (cf plus haut).

Plages d'adresses IP V4 privées (RFC 1918) :

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0./16.

Plages d'adresses IP V6 privées ( RFC 5156, RFC4193, RFC4291) :

Préfixe IPv6

  • fc00::/7 : Adresses locales uniques
  • fe80::/10 : Adresses locales de lien

Inscrire une adresse IP publique (officielle) dans votre certificat :

Dans le cas ou vous souhaitez inscrire une adresse IP publique dans votre certificat, il vous faudra vérifier auprès de votre fournisseur (votre Fournisseur d'accès Internet ou hébergeur la plupart du temps) que cette adresse IP est bien attribuée à votre nom d'organisation (Champ O du CSR) (Parfois proposé dans les abonnement PRO); ce qui fera le lien entre le propriétaire de ces adresses IP et vous le demandeur du certificat.

Dans l'avenir, avec les nouvelles adresses IP en V6, cette notion de correspondance avec votre organisation devrait être plus courant par simple demande à votre FAI (Forunisseur d'Accès Internet) ou hébergeur, voir automatisé dès la souscription de votre contrat.

Plus d'info pour obtenir un certificat serveur et créer la demande de certificat : le CSR : cliquer ici

Obtenir un certificat serveur

Créer la demande de certificat sur votre serveur: le CSR (Certificate Signing Request)