Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


20120312 - Certificats SSL : CN, SAN, IP et noms internes

Au 1er juillet 2012 l'utilisation de certificats contenant une adresse IP réservée ou un nom interne sera désapprouvée par le CA / Browsers Forum. La fin définitive de cette pratique est, elle, prévue pour Octobre 2016.

À noter : Cette mesure fait partie d'un plan plus vaste établi pas le CA/Browsers Forum. Voir Création du Baseline Requirements - V1

Définition - Nom interne : Désigne une chaîne de caractères (pas une adresse IP) présente dans le champ CN (Common Name) ou SAN (Subject Alternative Name) du certificat et dont on ne peut prouver qu'il est globalement unique au sein du DNS publique au moment de l'émission du certificat car il ne se termine pas par un Top Level Domain enregistré chez IANA.

Quelles conséquences sur les dates de validité de vos certificats ?

En regard de cette directive, les Autorités de certification n'émettront pas de certificat dont la date d'expiration serait postérieure au 1er novembre 2015 et dont l'extension de SAN (Subject Alternative Name) ou le champ CN contiendrait une adresse IP réservée ou un nom interne.

De même, au 1er octobre 2016 tout certificat en cours de validité dont l'extension de SAN ou le champ CN contiendrait une adresse IP réservée ou un nom interne sera révoqué.

D'un manière générale, un nom de domaine, qu'il soit destiné à un usage interne ou externe, contenant un gTLD (generic Top Level Domain) ou un ccTLD (country code TLD) non enregistré ou non contrôlé par l'IANA sera rejeté. Cela inclus (sans être limité à) l'utilisation du .INT comme nom interne.

Nous recommandons donc d'éviter d'utiliser des domaines internes, et de modifier les domaines actuellement utilisés, par exemple :

  • utiliser des sous-domaines du domaine que vous avez préalablement fait enregistrer auprès de votre prestataire internet, peu importe que ces adressages en sous-domaines soient ou non inscrits dans le serveur DNS externe ( par exemple : "serveur123.intranet.mondomaine.fr" )

  • Pour un environnement Microsoft, voir Renommer un domaine active directory

Ce qui restera acceptable d'ici au 1er novembre 2015

Ci-dessous vous trouverez une liste de ce qui pourra être accepté pour une utilisation interne de certificat.

  • Les IP suivantes sont considérées comme étant privées et non-routables sur le réseau internet et donc valides dans le cadre de l'émission d'un certificat destiné à un usage interne (voir le RFC1918):

    • 10.0.0.0 – 10.255.255.255
    • 172.16.0.0 – 172.31.255.255
    • 192.168.0.0 – 192.168.255.255

  • Tout nom de serveur ne contenant pas de point. Exemple :

    • serveur1
    • monserveurdemail

  • Les TLD internes suivant et référencés dans le RFC2606 ou dans le registre créé par le RFC6761:

    • .test
    • .example
    • .invalid
    • .localhost
    • .local
    • .lan
    • .priv
    • .localdomain

Toute demande de certificat contenant un TLD non réservé et ne figurant pas sur cette liste sera étudiée au cas par cas, mais sera très probablement refusée.

IMPORTANT : Il se peut qu'une autorité de certification accepte (à sa discrétion) de délivrer un certificat contenant un TLD interne non-valide et ne faisant pas partie de la liste ci-dessus. NOTEZ que si ce TLD venait à être reconnu par l'IANA / ICANN comme étant valide, ce certificat serait immédiatement révoqué et ce, sans préavis. Avant une éventuelle ré-émission du certificat il vous sera alors demandé de prouver que le domaine vous appartient ou que vous en avez le contrôle.

Voir la liste des TLD en cours d'examen à l'ICANN

Par exemple, les certificats ayant dans le CN (Common Name) un adresse se terminant par ".prod" ne sont plus délivrées par l'autorité Comodo depuis le 1er juillet 2012, même si cette extension n'est pas encore disponible auprès d'un "bureau d'enregistrement" (Registrar).

Les certificats en cours de validité utilisant ces TLD sont susceptibles d'être révoqués à tout moment sans préavis. Les demandes en cours sont, elles, en sursis.

Edit 20130318 - L'ICANN impose de nouvelles règles

L'ICANN publie aujourd'hui un document définissant de nouvelles règles à respecter dans l'emission de certificats SSL destinés à sécuriser un ou plusieurs domaines internes :

  • Après que l'ICANN ait approuvé la création d'un nouveau gTLD et dans un délai de 30 jours maximum, les autorités de certification devront cesser d'émettre des certificats destinés à sécuriser des noms internes et utilisant le gTLD concerné.
  • Concernant les certificats déjà émis et utilisant un de ces gTLDs, ils devront être révoqués dans un délai maximum de 120 jours après publication de l'ICANN.

TBS INTERNET FOURNIRA DES CERTIFICATS AVEC DES NOMS INTERNES JUSQU'AU 30/09/2015

TBS INTERNET continuera d'émettre des certificats SSL contenant un ou plusieurs noms internes jusqu'au 30 septembre 2015.

Conditions de l'offre : Au 1er novembre 2015, les certificats SSL contenant des noms internes doivent avoir complètement disparus. En conséquence, les certificats que nous délivreront entre le 1er novembre 2014 et le 30 septembre 2015 expireront IMPÉRATIVEMENT le 30 octobre 2015.

Les dates de validité des certificats émis seront donc tronquées et vous perdrez les jours restants.

Liens externes