Schon ab November 2014 können bei der Erreichbarkeit Ihres MS Exchange Servers Probleme auftreten

Häufig setzen Unternehmen für das interne und externe Messaging auf den Microsoft Exchange Server oder ähnliche Lösungen. Der Exchange Server ist im internen Netzwerk dann meist unter einer internen Adresse wie z.B. „server“ oder „server.local“ erreichbar.

Soweit so gut.
Oder etwa nicht?

Damit die Verschlüsselung zwischen Client (z.B. Outlook) und Server einwandfrei funktioniert, ist ein SSL-Zertifikat erforderlich, das alle verwendeten Servernamen abdeckt (sowohl öffentliche als auch interne Namen) und von einer anerkannten Stelle ausgestellt wurde.

Und hier versteckt sich ein bislang etwas unterbewertetes Problem: Aufgrund neuer Anforderungen hat das CAB Forum die CAs dazu verpflichtet, nicht offizielle Servernamen und private IP-Adressen aus SSL-Zertifikaten zu verbannen. Die Frist hierfür läuft bereits; so heißt es seitens des CA/Browser Forums:

„Also as of the Effective Date, the CA SHALL NOT issue a certificate with an Expiry Date later than 1 November 2015 with a SAN or Subject Common Name field containing a Reserved IP Address or Internal Server Name.“

 

Demnach darf eine CA keine neuen Zertifikate ausstellen, die lokale Servernamen enthalten und länger als bis zum 1. November 2015 gültig sind. Dies hat zur Folge, dass entsprechend benötigte Zertifikate (z.B. für den Einsatz auf MS Exchange Servern) letztmals am 31. Oktober 2014 und mit einer Maximallaufzeit von 12 Monaten ausgestellt werden dürfen.

Was bedeutet das für Unternehmen?

Unternehmen müssen bei Ihrer Namensvergabe umdenken. Microsoft und das CAB Forum empfehlen die Nutzung von vollständigen, offiziellen Servernamen (z.B. server.example.com), denn hier können gewöhnliche SSL-Zertifikate natürlich auch weiterhin neu ausgestellt werden.

Diese Umstellung sollte bei Unternehmen schnellstmöglich erfolgen, allerdings gibt es, wie bereits erläutert, bis Ende Oktober 2014 die Möglichkeit neue SSL-Zertifikate mit internen Servernamen und einer Laufzeit von maximal 12 Monaten zu bestellen. Falls Sie mehr Zeit für Ihre interne Umstellung benötigen, sollten Sie also dringend darüber nachdenken, sich schnellstmöglich um die Verlängerung bzw. Neubestellung eines SSL-Zertifikats mit internen Servernamen zu kümmern.

Nutzen Sie die „Gnadenfrist“, denn es es gibt kein Zurück! Die Umstellung bzw. der Verbot der lokalen Servernamen und privaten IP-Adressen erfolgt CA-unabhängig und weltweit.

Für alle Fragen bezüglich der anstehenden Änderungen steht Ihnen das Team der CertCenter AG gerne zur Verfügung – per Telefon (0641/80899520), E-Mail oder per Chat.

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail