CANN(互聯(lián)網名稱與數字地址分配機構)發(fā)布了一個安全公告，強調SSL(加密套接字協(xié)議層)證書對于不合格擴展的內部域名的重要性。什么是一個不合格擴展的域名呢?它會帶來哪些風險?為什么ICANN認為SSL證書可以防御這個風險呢?

DNS(域名系統(tǒng))是用于命名連接到Internet的計算機、服務器和任意其它資源的系統(tǒng)。比如www.mycompany.com這個主機名是由三個DNS標簽組成的：“www”是本地主機名，“mycompany”是二級域名，“.com”是頂級域名。當一個主機名的所有標簽都是明確指定，并且至少有一個公共路由的IP地址與其相關聯(lián)時，這個主機名就是完全合格的域名。主機名“www.mycompany.com”可以通過本地主機文件或一個DNS解析程序翻譯成一個IP地址。

組織通常會用一些不合格的域名，如“郵件”、“維基”、“交換”等詞，在他們的本地網絡上來識別機器，這樣用戶通過輸入組織內部資源的簡短名稱就可以搜索到該組織。這些人類可識別的本地主機名相對于IP地址來說也更容易記憶和識別。如果這些主機沒有一個公網IP地址，他們就被視為沒有合格的域名。

電子前沿基金會(EFF)發(fā)現，CA(證書授權中心)為數以千計的用于在本地企業(yè)網絡中識別機器的常見不合格域名簽發(fā)了合法證書。這樣就造成了一個安全問題，因為公開可信的CA頒發(fā)的數字證書是意味著該主機名可以唯一識別整個因特網中的一個資源，而這些不合格的域名不是唯一的，任何人都可能獲得一個認證https://mail或https://wiki的證書。

如果一個攻擊者獲得了不合格域名“郵件”的證書，那么這個證書就可以在瀏覽器或者操作系統(tǒng)信任存儲中鏈接到一個CA中心，攻擊者可以將這個證書使用在對一個叫“郵件”的內部網絡中的任意郵件服務器的中間人攻擊中，這個證書就是一個完美的身份偽造。攻擊者和服務器的連接看起來是很正常的，而且證書檢查會顯示攻擊者的證書是由一個公開可信的CA或者私人企業(yè)范圍的CA所發(fā)行。

由于各種CA中心同樣為內部域名簽發(fā)了一些不合格的擴展名，這個問題就變得更糟糕了。例如，“.corp”的域名擴展已經用于很多私人企業(yè)網絡內部，但是“.corp”這個擴展名目前正被考慮未來作為一個gTLD(通用頂級域名)。如果新的gTLD開始運作，那么之前為“.corp”所頒發(fā)的證書還有其它新的gTLD就可以從真正的域名重定向到一個用戶。

為了解決這個問題，CA/B論壇，一個證書授權中心和Web瀏覽器生產商組織,要求他們的CA成員不再向2015年11月1日之前到期的內部服務器名字頒發(fā)類似新的證書。2016年10月1號，所有CA中心預期將撤銷剩下的仍在有效期的所有這類內部服務器域名證書，永久停用此類證書。但是直到2016年10月，新的gTLD仍存在潛在漏洞。

企業(yè)管理員可以通過不使用不合格證書訪問內部資源來打擊中間人攻擊帶來的風險。例如，一個郵件服務器只能通過完全合格域名https://mail. mycompany.com/來訪問，而不能通過https://mail/.來訪問。企業(yè)發(fā)行證書應該使用它們自己私人的CA中心，如微軟證書服務器，不應該為不合格域名和私人的，不可路由的IP地址簽發(fā)證書，并應該撤銷現有的這類不合格證書。