Home
Skip to main content eIDAS szerinti minősített bizalmi szolgáltató
UCC tanúsítványok

 

Az UCC tanúsítvány (Unified Communication Certificates, UCC) olyan webszerver tanúsítvány, amely egyszerre több címre (így esetleg több domainre is) szól, például www.valami.hu, webmail.valami.hu, www.valahol.net. A wildcard-UCC tanúsítvány olyan webszerver tanúsítvány, amely egyszerre több domain összes subdomainjére is szólhat, például *.valami.hu, *.valahol.net."

Webszerver tanúsítványok esetén az alany DN-jének common name mezejében szerepel, hogy milyen címre szól a tanúsítvány. Ha ehelyett a címeket az alany alternatív nevei (subject alternative names, SAN) között soroljuk fel, akkor UCC tanúsítványról beszélünk. A legtöbb böngésző támogatja az UCC tanúsítványokat. Ez azt jelenti, hogy amikor az SSL kapcsolat felépítése során ellenőrzi, hogy a webszerver tanúsítványa valóban arra a címre szól-e, amelyhez a böngésző kapcsolódik, akkor is elfogadja a tanúsítványt, ha az alany alternatív nevei között szerepel az adott cím. (Ha szerepel a tanúsítványban az alany alternatív nevei (SAN) mezőben DNS név, akkor a common name mezőt figyelmen kívül hagyja, és csak az alternatív nevek között keresi az adott címet.)

 

  A webszerver tanúsítványokról szeretne olvasni?
  Az autentikációról, más néven partner hitelesítésről szeretne olvasni?

 

 


UCC tanúsítványban az alany alternatív nevei között lehet felsorolni a címeket. Az ábrán olyan Wildcard-UCC tanúsítvány látható, amely illeszkedik az https://e-szigno.hu címre, az e-szigno.hu subdomainjeire, és az srv.microsec.hu címre is.

 

 

  Kattintson ide, ha SSL kapcsolatot szeretne létesíteni a https://e-szigno.hu oldallal az oldal UCC tanúsítványa alapján.
  Kattintson ide, ha meg szeretné tekinteni a fenti oldal UCC tanúsítványát.

 

Miért van szükség több címet tartalmazó tanúsítványra? Igaz, hogy létezik olyan webszerver, amelyikkel megoldható, hogy ugyanazon a porton több különböző domaint (illetve subdomaint) szolgáljunk ki, miközben az egyes címekhez külön-külön tanúsítvány tartozik. Ugyanakkor, e megoldás csak akkor használható, ha a böngészőprogram még az SSL kapcsolat felépítése előtt is elküldi, hogy pontosan milyen címre szeretne csatlakozni. Tekintve, hogy például az Internet Explorer ezt nem teszi meg, e megoldás nemigen használható a gyakorlatban. Ha egyazon portól több különböző domaint/subdomaint szeretnénk kiszolgálni, akkor egy tanúsítvánnyal kell lefednünk az összes domaint és subdomaint. E tanúsítvány lehet joker ("*") karaktert tartalmazó wildcard tanúsítvány vagy több címet tartalmazó UCC tanúsítvány.

Az UCC tanúsítványok a wildcard tanúsítványokhoz hasonlóan több címre szólnak, így a wildcard tanúsítványoknál szereplő biztonsági megfontolások nagy része itt is érvényes. Például, tegyük fel, hogy több domainünk van, mindegyik domaint külön gépről szolgáljuk ki, és a domainekhez egyetlen UCC tanúsítványt használunk. Ekkor, ha kompromittálódik az UCC tanúsítványhoz tartozó magánkulcs, akkor az összes gépen le kell cserélni a tanúsítványt (és a kulcspárt), mert a támadó az UCC tanúsítvány magánkulcsával a tanúsítványban feltüntetett összes domaint megszemélyesítheti.

 

  A wildcard tanúsítványokról szeretne olvasni?

 

A fő különbség a wildcard és az UCC tanúsítványok között, hogy míg a wildcard tanúsítvány a "*" jelet tartalmazó kifejezéssel illeszkedik több címre, addig az UCC tanúsítványban fel kell sorolni, hogy az mely címekre szól.

Így, ha egy wildcard tanúsítványhoz tartozó magánkulcs kompromittálódik, akkor a támadó az adott domain (pl: e-szigno.hu) bármennyi subdomainjét (pl. archivum.e-szigno.hu) megszemélyesítheti, olyanokat is, amelyeket a tanúsítvány birtokosa nem is használ. Ha egy UCC tanúsítványhoz tartozó magánkulcs kompromittálódik, akkor a támadó kizárólag a tanúsítványban felsorolt címeket személyesítheti meg.

A tanúsítvány birtokosára ugyanúgy érvényes e korlátozás. UCC tanúsítvány esetén a tanúsítvány igénylésekor el kell dönteni, hogy pontosan milyen címekre (például: www.e-szigno.hu, archivum.e-szigno.hu) kérjük a tanúsítványt, és ezen később csak a tanúsítvány cseréjével, azaz a tanúsítványt kibocsátó bizalmi szolgáltató bevonásával lehet változtatni. A szolgáltatónak vissza kell vonnia a régi tanúsítványt, és új tanúsítványt kell kibocsátania. Az adminisztratív lépések mellett ennek anyagi vonzatai is lehetnek. Wildcard tanúsítványok esetén a tanúsítvány birtokosa később is változtathat a subdomainjein, és ehhez nincsen szükség a bizalmi szolgáltató bevonására - feltéve, hogy az új domainek és subdomainek illeszkednek a wildcard tanúsítványban szereplő, "*" jelet tartalmazó kifejezésre.

Wildcard tanúsítvánnyal mindig csak egyetlen domain subdomainjei fedhetőek le. Például a *.valami.hu tanúsítvánnyal lefedhető a www.valami.hu, a webshop.valami.hu és a webmail.valami.hu, de már nem fedhető le a www.valahol.net. Egy UCC tanúsítványban viszont egymástól markánsan eltérő domainek is felsorolhatóak; egyetlen UCC tanúsítvánnyal lefedhető a fenti összes domain és subdomain. A tanúsítvány elvileg bármekkora lehet, így egyetlen UCC tanúsítvánnyal elvileg bárhány cím lefedhető.

Fontos megjegyezni, hogy a *.valami.hu címre szóló tanúsítvány nem illeszkedik a https://valami.hu címre, csak a domain első szintű subdomainjeit fedi le (pl. a https://www.valami.hu címet).

Ha egyetlen tanúsítvánnyal szeretnénk lefedni a www.valami.hu és a valami.hu címet, akkor UCC tanúsítványt kell használnunk.

A wildcard tanúsítványok kombinálhatóak az UCC tanúsítványokkal. A wildcard-UCC tanúsítványok olyan webszerver tanúsítványok, amelyekben több címet is felsorolhatunk (UCC), de e címek "*" jelet is tartalmazhatnak. Wildcard-UCC tanúsítvánnyal oldható meg, hogy egyazon tanúsítvány illeszkedjen a valami.hu és a www.valami.hu címre, valamint a domain összes subdomainjére.

 

  Nem minden böngésző támogatja a wildcard-UCC tanúsítványokat. Itt olvashat részletesen arról, hogy mely böngésző mely megoldásokat támogat.

 

Wildcard-UCC tanúsítvánnyal oldható meg, hogy egyazon tanúsítvány fedje le a valami.hu, a valahol.net domaineket és ezek összes lehetséges subdomainjeit, így pl. a www.valami.hu, webshop.valami.hu, webmail.valahol.net címeket. Ebben az esetben a tanúsítványban az alany alternatív nevei között a következőket kell feltüntetni:
DNS=valami.hu
DNS=*.valami.hu
DNS=valahol.net
DNS=*.valahol.net

 


A fenti wildcard-UCC tanúsítvány illeszkedik a malary.hu címre és a malary.hu domain összes subdomainjére, a meak.hu címre és a meak.hu összes subdomainjére, a pirosfeketefa.hu címre és a pirosfeketefa.hu domain összes subdomainjére. Szintén illeszkedik a www.presentrendezveny.hu címre, de a presentrendezveny.hu más subdomainjeire nem illeszkedik.

 

Az UCC, illetve wildcard-UCC tanúsítvány akkor igazán jó választás, ha egy gépen több különböző domaint (illetve subdomaint) szolgálunk ki ugyanazon a porton. Ekkor egyetlen UCC tanúsítvánnyal vagy wildcard-UCC tanúsítvánnyal lefedhető az összes domain és subdomain. Például webhosting szolgáltatóknak javasoljuk e megoldást.

 

  Webszerver tanúsítványt szeretne vásárolni?