UCC tanúsítványok

 

Az UCC tanúsítvány (Unified Communication Certificates, UCC) olyan webszerver tanúsítvány, amely egyszerre több címre (így esetleg több domainre is) szól, például www.valami.hu, webmail.valami.hu, www.valahol.net. A wildcard-UCC tanúsítvány olyan webszerver tanúsítvány, amely egyszerre több domain összes subdomainjére is szólhat, például *.valami.hu, *.valahol.net."

Webszerver tanúsítványok esetén az alany DN-jének common name mezejében szerepel, hogy milyen címre szól a tanúsítvány. Ha ehelyett a címeket az alany alternatív nevei (subject alternative names, SAN) között soroljuk fel, akkor UCC tanúsítványról beszélünk. A legtöbb böngésző támogatja az UCC tanúsítványokat. (Például a Internet Explorer 7 és 8, valamint a Mozilla Firefox 3.5 feletti verziói igen, de például a Google Chrome 3 még nem.) Ez azt jelenti, hogy amikor az SSL kapcsolat felépítése során ellenőrzi, hogy a webszerver tanúsítványa valóban arra a címre szól-e, amelyhez a böngésző kapcsolódik, akkor is elfogadja a tanúsítványt, ha az alany alternatív nevei között szerepel az adott cím. (Ha szerepel a tanúsítványban az alany alternatív nevei (SAN) mezőben DNS név, akkor a common name mezőt figyelmen kívül hagyja, és csak az alternatív nevek között keresi az adott címet.)

 

  A webszerver tanúsítványokról szeretne olvasni?
  Az autentikációról, más néven partner hitelesítésről szeretne olvasni?

 

 


UCC tanúsítványban az alany alternatív nevei között lehet felsorolni a címeket. Az ábrán olyan Wildcard-UCC tanúsítvány látható, amely illeszkedik az https://e-szigno.hu címre, az e-szigno.hu subdomainjeire, és az srv.microsec.hu címre is.

 

 

  Kattintson ide, ha SSL kapcsolatot szeretne létesíteni a https://e-szigno.hu oldallal az oldal UCC tanúsítványa alapján.
  Kattintson ide, ha meg szeretné tekinteni a fenti oldal UCC tanúsítványát.

 

Miért van szükség több címet tartalmazó tanúsítványra? Igaz, hogy létezik olyan webszerver, amelyikkel megoldható, hogy ugyanazon a porton több különböző domaint (illetve subdomaint) szolgáljunk ki, miközben az egyes címekhez külön-külön tanúsítvány tartozik. Ugyanakkor, e megoldás csak akkor használható, ha a böngészőprogram még az SSL kapcsolat felépítése előtt is elküldi, hogy pontosan milyen címre szeretne csatlakozni. Tekintve, hogy például az Internet Explorer ezt nem teszi meg, e megoldás nemigen használható a gyakorlatban. Ha egyazon portól több különböző domaint/subdomaint szeretnénk kiszolgálni, akkor egy tanúsítvánnyal kell lefednünk az összes domaint és subdomaint. E tanúsítvány lehet joker ("*") karaktert tartalmazó wildcard tanúsítvány vagy több címet tartalmazó UCC tanúsítvány.

Az UCC tanúsítványok a wildcard tanúsítványokhoz hasonlóan több címre szólnak, így a wildcard tanúsítványoknál szereplő biztonsági megfontolások nagy része itt is érvényes. Például, tegyük fel, hogy több domainünk van, mindegyik domaint külön gépről szolgáljuk ki, és a domainekhez egyetlen UCC tanúsítványt használunk. Ekkor, ha kompromittálódik az UCC tanúsítványhoz tartozó magánkulcs, akkor az összes gépen le kell cserélni a tanúsítványt (és a kulcspárt), mert a támadó az UCC tanúsítvány magánkulcsával a tanúsítványban feltüntetett összes domaint megszemélyesítheti.

 

  A wildcard tanúsítványokról szeretne olvasni?

 

Az jelenti a különbséget a wildcard és az UCC tanúsítványok között, hogy míg a wildcard tanúsítvány a "*" jelet tartalmazó kifejezéssel illeszkedik több címre, addig az UCC tanúsítványban fel kell sorolni, hogy az mely címekre szól.

Így, ha egy wildcard tanúsítványhoz tartozó magánkulcs kompromittálódik, akkor a támadó az adott domain (pl: e-szigno.hu) bármennyi subdomainjét (pl. archivum.e-szigno.hu) megszemélyesítheti, olyanokat is, amelyeket a tanúsítvány birtokosa nem is használ. Ha egy UCC tanúsítványhoz tartozó magánkulcs kompromittálódik, akkor a támadó kizárólag a tanúsítványban felsorolt címeket személyesítheti meg.

A tanúsítvány birtokosára ugyanúgy érvényes e korlátozás. UCC tanúsítvány esetén a tanúsítvány igénylésekor el kell dönteni, hogy pontosan milyen címekre (például: www.e-szigno.hu, archivum.e-szigno.hu) kérjük a tanúsítványt, és ezen később csak a tanúsítvány cseréjével, azaz a tanúsítványt kibocsátó hitelesítés szolgáltató bevonásával lehet változtatni. A szolgáltatónak vissza kell vonnia a régi tanúsítványt, és új tanúsítványt kell kibocsátania. Az adminisztratív lépések mellett ennek anyagi vonzatai is lehetnek. Wildcard tanúsítványok esetén a tanúsítvány birtokosa később is változtathat a subdomainjein, és ehhez nincsen szükség a hitelesítés szolgáltató bevonására - feltéve, hogy az új domainek és subdomainek illeszkednek a wildcard tanúsítványban szereplő, "*" jelet tartalmazó kifejezésre.

Wildcard tanúsítvánnyal mindig csak egyetlen domain subdomainjei fedhetőek le. Például a *.valami.hu tanúsítvánnyal lefedhető a www.valami.hu, a webshop.valami.hu és a webmail.valami.hu, de már nem fedhető le a www.valahol.net. Egy UCC tanúsítványban viszont egymástól markánsan eltérő domainek is felsorolhatóak; egyetlen UCC tanúsítvánnyal lefedhető a fenti összes domain és subdomain. A tanúsítvány elvileg bármekkora lehet, így egyetlen UCC tanúsítvánnyal elvileg bárhány cím lefedhető.

Fontos megjegyezni, hogy a *.valami.hu címre szóló tanúsítvány nem illeszkedik a https://valami.hu címre, csak a domain első szintű subdomainjeit fedi le (pl. a https://www.valami.hu címet).

Ha egyetlen tanúsítvánnyal szeretnénk lefedni a www.valami.hu és a valami.hu címet, akkor UCC tanúsítványt kell használnunk.

A wildcard tanúsítványok kombinálhatóak az UCC tanúsítványokkal. A wildcard-UCC tanúsítványok olyan webszerver tanúsítványok, amelyekben több címet is felsorolhatunk (UCC), de e címek "*" jelet is tartalmazhatnak. Wildcard-UCC tanúsítvánnyal oldható meg, hogy egyazon tanúsítvány illeszkedjen a valami.hu és a www.valami.hu címre, valamint a domain összes subdomainjére.

 

  Nem minden böngésző támogatja a wildcard-UCC tanúsítványokat. Itt olvashat részletesen arról, hogy mely böngésző mely megoldásokat támogat.

 

Wildcard-UCC tanúsítvánnyal oldható meg, hogy egyazon tanúsítvány fedje le a valami.hu, a valahol.net domaineket és ezek összes lehetséges subdomainjeit, így pl. a www.valami.hu, webshop.valami.hu, webmail.valahol.net címeket. Ebben az esetben a tanúsítványban az alany alternatív nevei között a következőket kell feltüntetni:
DNS=valami.hu
DNS=*.valami.hu
DNS=valahol.net
DNS=*.valahol.net

 


A fenti wildcard-UCC tanúsítvány illeszkedik a malary.hu címre és a malary.hu domain összes subdomainjére, a meak.hu címre és a meak.hu összes subdomainjére, a pirosfeketefa.hu címre és a pirosfeketefa.hu domain összes subdomainjére. Szintén illeszkedik a www.presentrendezveny.hu címre, de a presentrendezveny.hu más subdomainjeire nem illeszkedik.

 

Az UCC, illetve wildcard-UCC tanúsítvány akkor igazán jó választás, ha egy gépen több különböző domaint (illetve subdomaint) szolgálunk ki ugyanazon a porton. Ekkor egyetlen UCC tanúsítvánnyal vagy wildcard-UCC tanúsítvánnyal lefedhető az összes domain és subdomain. Például webhosting szolgáltatóknak javasoljuk e megoldást.

 

  Webszerver tanúsítványt szeretne vásárolni?