/
615.txt
95 lines (70 loc) · 5.69 KB
/
615.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
[16] [DFN[[RUBYB[内部名]@en[internal name]]]]は、[[インターネット]]の [[DNS]]
によって[[名前解決]]できない[[ドメイン名]]です。[[イントラネット]]など組織内部で使われることがります。
* 文書
[REFS[
- [7] '''[[BR]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=10>'''
- [9] [CITE[[[BR]]]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=17>
- [13] [CITE[[[BR]]]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=26>
- [2] [CITE@en-US[Guidance on Internal Names - CAB Forum]]
([TIME[2015-04-02 12:25:01 +09:00]] 版)
<https://cabforum.org/internal-names/>
-- [4] [CITE[Internal Server Names and IP Address Requirements for SSL: Guidance on the Deprecation of Internal Server Names and Reserved IP Addresses provided by the CA/Browser Forum June 2012, Version 1.0]]
([TIME[2013-10-15 01:19:15 +09:00]] 版)
<https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf>
]REFS]
[5] >>4 は [[BR]] の規定を解説するものとなっています。
* 定義
[8] [DFN[[RUBYB[内部名]@en[Internal Name]]]]は、[[証明書]]の [[Common Name]]
欄や [[Subject Alternative Name]] 欄の[[文字列]] (非 [[IPアドレス]]) であって、
[[証明書]]の[[発行]]の時点において [[IANA]] の[[根ゾーンデータベース]]に登録された[[最上位ドメイン]]で終わらないため[[公開DNS]]中で大域的に固有に[RUBYB[[[検証]]]@en[verify]]できないものをいいます [SRC[>>7]]。
* 証明書の発行停止
[15] [[BR]] に従う [[CA]] は、 [[ICANN]] で検討中の [[gTLD]]
を使った[[証明書]]を[[発行]]する[['''べきではありません''']] [SRC[>>13]]。
[14] [[BR]] に従う [[CA]] は、 [[ICANN]] の [[Webサイト]]で新設 [[gTLD]]
の[[契約]]が出版されてから120日後に、当該 [[gTLD]] を使った[[証明書]]について
[[Subscriber]] が [[Domain Name Registrant]] である (または当該[[ドメイン名]]を管理していることを示せた者である) 場合を除き、
これを[[失効]] ([[revoke]]) させなければ[['''なりません''']] [SRC[>>13]]。
[10]
[TIME[2012-07-01]]をもって、 [[BR]] に従う [[CA]]
は[[満期日]]が[TIME[2015-11-01]]よりも後である[[証明書]]であって [[SAN]] や [[CN]] に[[予約済みIPアドレス]]や[[内部名]]を指定したものを発行しては[['''なりません''']] [SRC[>>9]]。
[11]
[TIME[2016-10-01]]をもって、 [[BR]] に従う [[CA]] は [[SAN]] や [[CN]] に[[予約済みIPアドレス]]や[[内部名]]を指定した未失効の[[証明書]]を[[失効]]
([[revoke]]) しなければ[['''なりません''']] [SRC[>>9]]。
;; [12] これらの規定は [[BR]] に従う [[CA]] に[[内部名]]の発行を停止するよう求めるものですが、
[[BR]] に従わない [[CA]] に対する拘束力はありません。組織内の [[CA]]
などは今後とも[[内部名]]の[[証明書]]を発行できます。 (組織外の [[CA]]
が、組織内でしか通用しない (外部から正当性を検証しようのない)
[[内部名]]の[[証明書]]を発行できていて、しかもそれが無条件で世界中の
[[Webブラウザー]]から有効と判断されていた今までの状況がそもそもおかしかったのです。)
* 関連
[22]
[CODE[internal.]] は[[内部名]]かもしれませんが、
[CODE[internal.]] は[[内部名]]の一例に過ぎません。
* 歴史
[6] ([TIME[2014-06-06 00:39:33 +09:00]] 版)
<https://cabforum.org/wp-content/uploads/Baseline_Requirements_V1_1_8.pdf#page=9>
[1] [CITE@en[Internal Server Name SSL Certificate Issuance After 2015]]
( ([TIME[2014-09-16 03:43:49 +09:00]] 版))
<https://www.digicert.com/internal-names.htm>
[FIG(quote)[
[FIGCAPTION[
[3] [CITE@en-US[Guidance on Internal Names - CAB Forum]]
([TIME[2015-04-02 12:25:01 +09:00]] 版)
<https://cabforum.org/internal-names/>
]FIGCAPTION]
> For internal names not covered by the above-referenced ICANN gTLD process, on November 11, 2015, the issuance of certificates with a reserved IP address or internal server name is prohibited. On October 1, 2016, all publicly trusted SSL/TLS certificates with an internal name or reserved IP address will be revoked and/or blocked by browser software.
]FIG]
[17] [CITE[Issue 225570 - chromium - Add UMA metrics for intranet/internet SSL warnings - An open-source project to help move the web forward. - Google Project Hosting]]
([TIME[2015-09-22 17:55:14 +09:00]] 版)
<https://code.google.com/p/chromium/issues/detail?id=225570>
[18] [CITE[Issue 119212 - chromium - Treat 'intranet' hostnames in publicly chained certificates as hostname mismatches - An open-source project to help move the web forward. - Google Project Hosting]]
([TIME[2015-09-22 17:55:21 +09:00]] 版)
<https://code.google.com/p/chromium/issues/detail?id=119212>
[19] ([TIME[2015-09-22 17:59:33 +09:00]] 版)
<https://www.icann.org/en/system/files/files/sac-057-en.pdf>
[20] [CITE[Issue 119212 - chromium - Treat 'intranet' hostnames in publicly chained certificates as hostname mismatches - An open-source project to help move the web forward. - Google Project Hosting]]
([TIME[2015-09-22 18:08:12 +09:00]] 版)
<https://code.google.com/p/chromium/issues/detail?id=119212>
[21] [CITE@ja[なぜ希望するセカンドレベルドメイン名が取れないか:名前衝突問題――その意外な影響と対策 (2/2) - @IT]]
([TIME[2016-03-24 01:15:27 +09:00]] 版)
<http://www.atmarkit.co.jp/ait/articles/1407/25/news003_2.html>