Ab 07.10.2020 werden wir, wie auf der Betriebstagung des DFN-Vereins angekündigt und mit der Zertifizierungsrichtline der DFN-PKI im Sicherheitsniveau „Global“ in Version 6 vorbereitet, die Validierung von IP-Adressen, die in Zertifikate für Datenverarbeitungssysteme aufgenommen werden sollen, erneut umstellen.
Das nun umgesetzte Verfahren nach den Baseline Requirements des CA/Browser-Forums, Kap. 3.2.2.5.3, sieht vor, dass zu jeder IP-Adresse, die aufgenommen werden soll, ein Reverse Lookup durchgeführt wird. Ist einer der Namen, die als Ergebnis geliefert wurden, über eine bestehende Domain-Freischaltung im zuständigen Teilnehmerservice zugelassen, so kann auch die IP-Adresse in das Zertifikat aufgenommen werden.
Das bisherige Verfahren mit einer statischen Whitelist auf unseren Systemen, die per Hand gepflegt und mit Whois abgeglichen wurde, wird eingestellt.
Bestehende Zertifikate mit IP-Adressen, die nach der alten Methode geprüft wurden, bleiben natürlich unverändert gültig.
Bevor Sie sich die Mühe machen, eine IP-Adresse in einen Request aufzunehmen, sollten Sie genau prüfen, ob Sie wirklich ein Zertifikat mit einer IP-Adresse benötigen. Wird Ihr Dienst wirklich direkt per IP-Adresse angesprochen? Falls nicht, verzichten Sie auf die IP-Adresse im Zertifikat.
(Jürgen Brauckmann, 05.10.2020)