Werk voor IT-afdelingen door nieuwe regels rond SSL

De aanpassing is een antwoord op het risico dat de huidige naamgevingspraktijken van bedrijfsinterne servers opleveren. Het is heel gebruikelijk om servers alleen een nummer te geven (Server1, Server2, etc.) en vervolgens een intern IP-adres toe te kennen. Dat is 3 jaar geleden door het Certification Authority/Browser Forum - dat de richtlijnen voor het uitgeven van certificaten bewaakt - al als een onveilige manier van werken bestempeld.

Geen garantie op unieke namen

Het probleem met deze voor de hand liggende manier van aanduiden van servers in het netwerk is, dat de SSL-certificaten die voor zo aangeduide servers worden verstrekt door een certificaatautoriteit, niet noodzakelijkerwijs uniek zijn. Daarmee wordt het voor hackers eenvoudiger om een 'man-in-the-middle'-aanval op te zetten, als ze eenmaal een netwerk gekraakt hebben.

Destijds zijn nieuwe regels opgesteld die binnenkort in werking treden. Vanaf 1 november zullen de verstrekkers van certificaten eisen, dat er - in formele bewoordingen - een aanvraag voor een SSL-certificaat geformuleerd wordt op een wijze dat deze te koppelen is aan een externe domeinnaam. In de regel zal dat dus betekenen dat de bedrijfsnaam op de een of andere manier terug moet keren in de naam van de interne server.

Aanpassingen nodig

Voor de IT-afdeling kan dit de nodige voeten in de aarde krijgen. Het kan betekenen dat de internet DNS-infrastructuur aangepast met worden. Maar het kan ook aanpassingen nodig maken in toepassingen die op het netwerk draaien. Wie daar tegenop ziet, kan er ook voor kiezen eigen certificaten uit te geven op basis van de beheeroplossing die men gebruikt. Maar daarbij kan wel het probleem ontstaan dat webbrowsers die certificaten niet herkennen.

Al uitgegeven certificaten blijven vooralsnog wel geldig. SSL-certificaten voor interne servers die niet aan nieuwe standaarden voldoen, worden pas op 1 oktober 2016 herroepen.