Tag Archives: Private CA

Brauchen Sie eine eigene private Zertifizierungsstelle?

Haben Sie in Ihrem Intranet Domänennamen wie https://intranet.local oder einen Mailserver mit einer Adresse wie https://mail? Viele Unternehmen und Organisationen nutzen solche Domänennamen intern, doch das wird nun problematisch.

SSL-Zertifikate für Intranets

Symantec und die anderen im CA/Browser-Forum zusammengeschlossenen Zertifizierungsstellen (CA) und Browseranbieter haben beschlossen, keine SSL-Zertifikate mehr auszustellen, deren Root-Zertifikat nicht im öffentlich zugänglichen Internet überprüft werden kann.

Das heißt, dass Domänennamen nun weltweit eindeutig sein müssen und nicht nur innerhalb Ihres Intranets. Wenn Sie also beispielsweise eine Domäne mit der Endung .local haben, die Sie intern nutzen, werden Sie dafür bald kein von einer CA ausgestelltes SSL-Zertifikat mehr kaufen können.

Mit der Vergabe neuer gTLDs wie .berlin steigt die Wahrscheinlichkeit, dass weit verbreitete intern genutzte Domänenendungen von Unternehmen gekauft und im öffentlich zugänglichen Internet genutzt werden. Endungen wie .home und .pics wurden bereits beantragt und Anträge für weitere Endungen werden sicher folgen. In Zukunft können nur die Eigentümer dieser gTLDs bei CAs SSL-Zertifikate für sie kaufen.

Dadurch wird die Sicherheit im Internet insgesamt verbessert, doch Unternehmen und Organisationen, die diese neuen gTLDs oder reservierte IP-Adressen für interne Server nutzen, müssen sich nun umstellen.

So bereiten Sie sich auf die Umstellung vor

Wenn Sie in dieser Situation sind, haben Sie drei Möglichkeiten: Sie können die internen Domänennamen durch vollständig qualifizierte Domänennamen ersetzen, selbstsignierte Zertifikate nutzen oder eine private Zertifizierungsstelle (CA) einrichten, um Ihre intern genutzten Domänen zu authentisieren.

Für viele Unternehmen bietet sich die letztgenannte Option an, denn eine private Zertifizierungsstelle erfordert die wenigsten Änderungen an vorhandenen Systemen und ist mit dem geringsten Risiko verbunden.

Das Angebot von Symantec

Vor Kurzem stellte Symantec seine Lösung Private Certification Authority vor. Damit können Sie sowohl die Risiken und versteckten Kosten selbstsignierter Zertifikate als auch die Kosten einer Umstellung Ihres gesamten Intranets auf vollständig qualifizierte Domänennamen vermeiden.

Untitled-1-DE.png

 

Die Lösung beruht auf der robusten Infrastruktur von Symantec und ist für ein breites Anforderungsspektrum geeignet, vom Ausstellen von SSL-Zertifikaten für einzelne, in Intranets genutzte Domänen über Wildcard-Zertifikate bis hin zu selbstsignierten Zertifizierungsstellen. Zudem stellt sie eine gehostete private SSL-Zertifikatshierarchie mit speziell auf den Schutz des unternehmensinternen Datenaustauschs zugeschnittenen Endzertifikaten bereit.

Die Konsole von Managed PKI for SSL erleichtert Ihnen das Zertifikatsmanagement, denn sie ermöglicht die Verwaltung öffentlicher und privater Zertifikate an einer zentralen Stelle. So können Sie die mit dem unbemerkten Ablauf von Zertifikaten verbundenen Risiken vermeiden und rechtzeitig neue Zertifikate ausstellen. Doch unabhängig davon, für welche Lösung Sie sich entscheiden, gilt vor allem eins: Die Umstellung sollte so bald wie möglich erfolgen.

¿Necesita su propia autoridad de certificados?

¿Tiene alguna intranet cuyo nombre se parezca a https://intranet.local o algún servidor de correo electrónico con una dirección que comience por https://mail? Estos nombres de dominio de uso interno son muy frecuentes, pero ahora plantean un grave problema.

Certificados SSL para intranet

Symantec, junto con las demás autoridades de certificación y proveedores de navegadores que conforman el CA/Browser Forum, ha decidido dejar de emitir certificados SSL cuya cadena incluya una raíz pública a la que solo se puede acceder desde la red interna de la empresa.

Esto significa que los nombres de dominio tienen que ser únicos en el mundo, no solo en su red. Por lo tanto, si utiliza un dominio .local de forma interna, dentro de poco ya no podrá comprar certificados SSL validados para ese nombre.

Debido a la aparición de nuevos gTLD, como .london, y a la posibilidad de que empresas comerciales adquieran y usen muchos de los nombres que más se suelen utilizar para designar de forma interna a los dominios de servidor (por ejemplo, ya hay solicitudes para .red y .home, aunque seguro que les seguirán muchos más nombres), será imposible que compre un certificado SSL validado para estos gTLD a menos que le pertenezcan.

Si bien se trata de una medida que mejorará la seguridad, genera ciertos desafíos para aquellas empresas cuyos servidores utilizan estos nombres de dominio para uso interno o para direcciones IP reservadas.

Preparativos para el cambio

Entre las alternativas disponibles, se encuentra el cambio a nombres de dominio completos, el uso de certificados autofirmados o la creación de una autoridad de certificación privada para autenticar los nombres de dominio internos.

Para muchas empresas, esta última opción es una magnífica estrategia de preparación para el cambio, ya que es la alternativa que supone menos cambios en los sistemas existentes y la que conlleva menos riesgos.

La propuesta de Symantec

Para crear autoridades de certificación privadas, Symantec ha lanzado la solución Private Certification Authority. Gracias a este producto, evitará los riesgos y los costes ocultos de los certificados autofirmados, así como el gasto que supone cambiar toda la intranet para que utilice nombres de dominio completos.

Untitled-1-ES.png

 

Al utilizar la infraestructura blindada de Symantec, cumple todos los requisitos de los certificados SSL para intranet de un solo dominio, de los certificados comodín y de las autoridades de certificación autofirmadas. Además, ofrece una jerarquía de certificados SSL privada y alojada con certificados de entidad final creados específicamente para proteger las comunicaciones internas.

La consola Managed PKI for SSL contribuye a simplificar la administración de los certificados SSL, ya que le permite gestionar certificados públicos y privados desde un mismo panel de control. Gracias a esto, se reduce el riesgo de que los certificados caduquen de forma imprevista y se pueden emitir nuevos certificados conforme se necesitan.

Si su empresa dispone de servidores internos que utilizan nombres de dominio en desuso, tendrá que hacer algo al respecto más pronto que tarde.

Avez-vous besoin de votre propre autorité de certification privée ?

Vous possédez un site intranet dont le nom de domaine ressemblerait à https://intranet.local ? Ou un serveur de messagerie avec une adresse de type https://mail ? Certes très répandus, ces noms de domaines internes posent néanmoins un réel problème.

Certificats SSL pour intranet

Symantec s’est associé aux autres membres du CA/Browser Forum (autorités de certification et éditeurs de navigateurs Web) pour décider de stopper l’émission de certificats SSL rattachés à une racine publique ne pouvant être vérifiée dans un contexte d’Internet public.

En conséquence, l’unicité des noms de domaines ne doit plus seulement s’appliquer au niveau local (votre réseau), mais aussi au niveau mondial. En clair, si vous utilisez un domaine .local en interne, vous ne serez bientôt plus en mesure d’acheter des certificats SSL validant ce nom de domaine.

On assiste actuellement à l’émergence de nouveaux domaines génériques de premier niveau (gTLD) de type .london et autres, dans le sillage desquels de nombreux noms devraient suivre – les noms .red et .home sont d’ores et déjà en phase d’homologation. Par conséquent, il est fort probable que la plupart des noms communs utilisés pour identifier les domaines de serveurs en interne finiront par être exploités par des plates-formes commerciales. En clair, à moins que vous ne soyez propriétaire de ces gTLD, vous ne pourrez plus acheter de certificat SSL pour la validation de ces domaines.

Malgré les avantages de ce changement en termes de sécurité, il n’en pose pas moins un véritable enjeu pour les entreprises exploitant des noms de domaines internes ou des adresses IP réservées.

Comment se préparer

Face au changement à venir, les entreprises disposent de plusieurs options pour authentifier leurs noms de domaines internes : passage à des noms de domaines entièrement qualifiés, utilisation de certificats auto-signés ou mise en place d’une autorité de certification (AC) privée.

Pour de nombreuses entreprises, la mise en place d’une AC privée représente la meilleure solution car elle est la moins risquée et ne demande qu’un minimum de changements sur les systèmes existants.

La solution Symantec

Récemment annoncée par Symantec, la solution Private Certification Authority permet aux entreprises d’éliminer les risques et coûts cachés des certificats auto-signés, ainsi que les coûts associés au déploiement de noms de domaine Internet complets sur leur intranet.

Untitled-1-FR.png

 

Grâce à l’infrastructure ultra-sécurisée de Symantec, Private Certification Authority répond à n’importe quelle exigence : des certificats SSL intranet mono-domaines aux autorités de certification auto-signée, en passant par les formules Wildcard. Cette solution hébergée offre une hiérarchie SSL privée avec des certificats pour entités finales spécialement conçus pour sécuriser les communications internes.

Côté gestion, Symantec Private Certification Authority vous permet de consolider tous vos certificats SSL privés et publics au sein de la console Managed PKI for SSL. Résultat : vous éliminez les risques d’expiration inopinée de certificats et pouvez émettre de nouveaux certificats selon vos besoins. Pour conclure, si vos serveurs internes exploitent des noms de domaine invalidés, vous devriez envisager une solution au plus vite.

Do you need your own private Certificate Authority?

Stronger, resilient Private CA removes risk while lowering costs
On 1 October 2016 in line with the CA/Browser Forum’s Baseline Requirements, publicly trusted SSL certificates can no longer be issued to reserved IP addresses or Internal Server Names.
To overcome this:

1. You can update all your internal servers to use publically resolvable domains names or fully qualified domain names

2. You can set up an internal self-signed certificate authority

3. Or you could use Symantec’s Private CA offering

A key part of Symantec’s Managed PKI for SSL product this allows you to continue to use reserved IP addresses or Internal Server Names utilising Symantec’s Private Certification Authority (CA) that provides a hosted private SSL certificate hierarchy and end-entity certificates specifically built to secure internal servers.

Symantec’s Private CA uses the same solid infrastructure, which has 100% up-time track record* and robust business continuity programs, organisations meaning companies can put aside the security and disaster recovery infrastructure required to develop, store, and secure private keys.

* since 2004