CA/Browser フォーラムの規制によるものだそうです。
digicert: 2015年11月1日以降内部ドメイン名を使ったサーバ証明書は発行できません
http://rms-digicert.ne.jp/howto/basis/internal-names.html
CABフォーラムの baseline requirement の日本語訳がここにありますね。
https://jp.globalsign.com/repository/baseline_requirements_ja.pdf#page=20
CAはドメイン又はIPの正当な権利者であることを確認する義務(SHALL)を負うので、CAがアクセスするという方法で権利確認する場合は、
正当なドメイン保持者だけれどインターネットからのアクセスは切っている、というような事例に対応してもらえないことも、ありそうです。
つまるところ、 HTTPS サーバをあげようと思ったら、
クライアントにルート証明書をインストールして回るか、イントラをやめるか、二つに一つであるわけです。
つまり、セキュリティのためにイントラネットが公開されていくという逆説がおこるわけですね。
0 件のコメント:
コメントを投稿