In einigen Einsatzszenarien ist es nützlich oder sogar erforderlich, Web- oder sonstige Server mit Zertifikaten für interne Domainnamen wie „mail.local“ oder reservierte IP-Adressen wie 192.168.6.1 auszustatten.
Da diese Daten aber nicht eindeutig einem einzigen Server zugeordnet sind, ist die Existenz und die Nutzung solcher Zertifikate unter einer öffentlich vertrauten im Browser vorinstallierten CA wie der DFN-PKI (Sicherheitsniveau „Global“) ein potentielles Sicherheitsrisiko.
Daher schreiben die Baseline Requirements des CA/Browser-Forums schon seit einiger Zeit vor, dass solche Zertifikate nur noch mit einer maximalen Laufzeit bis 30.10.2015 ausgestellt werden. Am 1.10.2016 müssen alle noch gültigen betroffenen Zertifikate, die eventuell früher mit einer längeren Laufzeit ausgestellt wurden, gesperrt werden.
Lässt sich die Verwendung von internen Domainnamen oder reservierten IP-Adressen in Zertifikaten nicht vermeiden (z.B. durch Umbenennungen), so müssen diese in Zukunft von nicht im Browser vorinstallierten CAs ausgestellt werden.
Eine ausführliche Beschreibung und weitere Hinweise zu dieser Problematik finden Sie in folgendem Dokument: https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Interne-Namen.pdf
Vom CA/Browser-Forum steht ebenfalls ein Dokument mit Hinweisen zur Verfügung: https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf
(jbr, 05.02.2015)