chiedo una cosa: questi certificati per indirizzi interni erano esessi per
un indirizzo numerico o per un nome, che poi veniva risolto con un
indirizzo locale ?
Perché nulla osta di ottenere il certificato ponendo nel DNS un indirizzo
pubblico a cui risponde la macchina che si autentica; dopo di che mettere
nel DNS un indirizzo privato, che quindi sarà accessibile solo dalle
macchine della intranet.
dare un certificato a 10.10.10.10 non è ammesso, ma dare un certificato a
serveri.my-nonpublic-network-example.net che ha un record A 10.10.10.10 è
perfettamante ammissibile. ( e il record A lo puoi semp0re cambiare: pensa
a quei domini che hanno solo un cname: quello che succede ai record A e
AAAA della macchina a cui punta il cname sogno al di fuori del controllo.
On Mon, 13 Nov 2023, Diego Zuccato wrote:
Se li hai visti emessi da CA riconosciute per indirizzi di reti non
routabili, allora vanno segnalati: sono contrari alle policy CA/B forum!
Infatti il certificato potrebbe venir riutilizzato su una rete diversa,
facendo così credere all'utente di essere collegato ad un sito quando invece
è collegato ad un altro.
Inoltre, non essendo indirizzi routabili, vuol dire che non c'è stata
verifica del sito.
questo non è corretto, io ho visto certificati emessi per un indirizzo IP.
Li ho visti per siti interni ad una rete 10.x.x.x e quindi penso che in
teoria possano essere emessi anche per altri indirizzi.
L'unica cosa è che se lo fai emettere per un indirizzo IP poi non puoi
cambiarlo, pena il non funzionamento dell'esposizione in TLS.
--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it
tel:+393287329225
