CANN（互联网名称与数字地址分配机构）发布了一个安全公告，强调SSL（加密套接字协议层）证书对于不合格扩展的内部域名的重要性。什么是一个不合格扩展的域名呢？它会带来哪些风险？为什么ICANN认为SSL证书可以防御这个风险呢？

    DNS（域名系统）是用于命名连接到Internet的计算机、服务器和任意其它资源的系统。比如www.mycompany.com这个主机名是由三个DNS标签组成的：“www”是本地主机名，“mycompany”是二级域名，“。com”是顶级域名。当一个主机名的所有标签都是明确指定，并且至少有一个公共路由的IP地址与其相关联时，这个主机名就是完全合格的域名。主机名“www.mycompany.com”可以通过本地主机文件或一个DNS解析程序翻译成一个IP地址。

    组织通常会用一些不合格的域名，如“邮件”、“维基”、“交换”等词，在他们的本地网络上来识别机器，这样用户通过输入组织内部资源的简短名称就可以搜索到该组织。这些人类可识别的本地主机名相对于IP地址来说也更容易记忆和识别。如果这些主机没有一个公网IP地址，他们就被视为没有合格的域名。

    电子前沿基金会（EFF）发现，CA（证书授权中心）为数以千计的用于在本地企业网络中识别机器的常见不合格域名签发了合法证书。这样就造成了一个安全问题，因为公开可信的CA颁发的数字证书是意味着该主机名可以唯一识别整个因特网中的一个资源，而这些不合格的域名不是唯一的，任何人都可能获得一个认证https://mail或https://wiki的证书。

    如果一个攻击者获得了不合格域名“邮件”的证书，那么这个证书就可以在浏览器或者操作系统信任存储中链接到一个CA中心，攻击者可以将这个证书使用在对一个叫“邮件”的内部网络中的任意邮件服务器的中间人攻击中，这个证书就是一个完美的身份伪造。攻击者和服务器的连接看起来是很正常的，而且证书检查会显示攻击者的证书是由一个公开可信的CA或者私人企业范围的CA所发行。

    由于各种CA中心同样为内部域名签发了一些不合格的扩展名，这个问题就变得更糟糕了。例如，“。corp”的域名扩展已经用于很多私人企业网络内部，但是“。corp”这个扩展名目前正被考虑未来作为一个gTLD（通用顶级域名）。如果新的gTLD开始运作，那么之前为“。corp”所颁发的证书还有其它新的gTLD就可以从真正的域名重定向到一个用户。

    为了解决这个问题，CA/B论坛，一个证书授权中心和Web浏览器生产商组织，要求他们的CA成员不再向2015年11月1日之前到期的内部服务器名字颁发类似新的证书。2016年10月1号，所有CA中心预期将撤销剩下的仍在有效期的所有这类内部服务器域名证书，永久停用此类证书。但是直到2016年10月，新的gTLD仍存在潜在漏洞。

    企业管理员可以通过不使用不合格证书访问内部资源来打击中间人攻击带来的风险。例如，一个邮件服务器只能通过完全合格域名https://mail. mycompany.com/来访问，而不能通过https://mail/.来访问。企业发行证书应该使用它们自己私人的CA中心，如微软证书服务器，不应该为不合格域名和私人的，不可路由的IP地址签发证书，并应该撤销现有的这类不合格证书。