SAN - více domén v jednom SSL certifikátu
7. 1. 2014 | Jindřich Zechmeister
SSL certifikát je většinou platný pouze pro jednu doménu. Rozšíření SAN umožňuje s jedním SSL certifikátem zabezpečit více různých domén a názvů, včetně interních názvů serverů. Uplatnění nachází zejména na serveru Exchange.
Více je vždy lépe
Pokud potřebujete zabezpečit více doménových jmen jedním certifikátem, nemusíte mít pro každou doménu samostatný SSL certifikát.
Ve standardu X.509, který používají systémy založené na PKI, existuje rozšíření subjectAltName, které umožňuje rozšířit certifikát o další jména a názvy. Tyto názvy se nazývají Subject Alternative Names, zkráceně SAN. Dle standardu může být SAN nejen doména a interní IP adresa, ale třeba i e-mailová adresa a jiné údaje. Taková rozšíření se však nepoužívají.
V detailu SSL certifikátu uvidíte SANy jako DNS name v kategorii subjectAltName. Jako příklad je použit certifikát pro symantec.com:
Co může být SAN a co nikoliv
Jak jsem zmínil výše, v DNS name rozšíření může být jako SAN doména, název serveru či interní IP adresa. Lépe to bude patrné z následujících příkladů.
Jako SAN můžete použít:
- www.sslmarket.cz (FQDN - plně kvalifikované doménové jméno)
- mail.sslmarket.cz (subdoména)
- autodiscover.domena.cz (služba Microsoft Exchange)
- owa.exchange.local (interní doménové jméno)
- EXCHANGE01 (interní název serveru / NetBIOS název)
- 10.0.0.1 (privátní IP adresa)
Nemůžete použít:
- 48.179.15.35 (veřejná IP adresa)
- *.nazev-domeny.cz (hvězdičková doména, pouze u Wildcard certifikátů)
S certifikátem GeoTrust můžete zabezpečit až 100 SAN názvů. V případě Thawte se maximální počet SANů zvyšuje ze 4 na 24; limit 24 SANů platí i pro certifikáty Symantec. Nejlevnější SAN certifikát GeoTrust QuickSSL Premium je ověřený přes doménu, a tudíž nemůže obsahovat nesouvisející domény. Můžete ho využít pro 4 SAN názvy na hlavní doméně uvedené v Common name, což je typické pro server Exchange.
Pozor na interní jména serverů
Do SANu můžete přidat krom domén TLD i interní domény, tedy vaše interní názvy serverů či privátní IP adresy (10.0.0.1 atd.). Pokud se váš server nazývá EXCHANGE01 nebo posta.local, můžete takový název na rozdíl od běžného SSL certifikátu zabezpečit.
Podpora interních jmen a interních IP adres v certifikátu však končí 1. listopadu 2015 a po tomto datu již nemohou být v certifikátu uvedeny. V současnosti už tedy nemůžete objednat certifikát s těmito SANy na 3 roky, ale pouze na dva. V následujícím roce budou certifikáty s těmito neplatnými jmény zrušeny ze strany autority.
Důvodem omezení je hlavně zavedení nových TLD domén správcem ICANN. Například často používaná interní doména .corp se pravděpodobně stane novou TLD doménou a certifikáty vystavené pro tyto interní domény by mohly být zneužity k útokům na internetu.
Omezení v používání interních názvů a domén již platí u EV certifikátu s rozšířeným ověřením. Do těchto důvěryhodných certifikátů můžete přidat jako SAN pouze plně kvalifikované domény (FQDN). Plně kvalifikovaná doména je přesně určena správcem domény a její vlastník je nezpochybnitelný.
Certifikát pro Microsoft Exchange
Jak již bylo zmíněno v úvodu, SAN/UC certifikáty jsou díky své zaručené kompatibilitě vhodné pro server Exchange. Ten dokáže pracovat i s běžnými certifikáty, ale ty nejsou kompatibilní s některými službami, a jejich použití proto není komfortní.
Použití Wildcard (hvězdičkového) certifikátu může znamenat vyšší bezpečnostní riziko, jelikož Wildcard certifikát se většinou používá na více serverech a doménách. Dále s Wildcard certifikátem na Exchange nastává problém s ActiveSync pro mobilní zařízení, kdy na příklad Windows Mobile 5.0 nespolupracuje s Wildcard certifikátem vůbec. Více informací naleznete v článku Are Exchange wildcard certificates worth the risk? Stejně jako autor (MVP) doporučujeme pro Exchange SAN certifikát.
Jak SAN certifikát zařídit?
Kompletní nabídku SAN certifikátů naleznete v příslušné sekci SAN/UC SSL certifikáty na SSLmarketu. Zde můžete provést objednávku, ve které se SAN názvy uvedou v textové podobě.
Důležité je zvolit správný počet SANů i s ohledem na budoucí využití. Nemusíte totiž při objednání certifikátu uvést všechny SAN názvy. Minimálně uveďte jeden a další SAN názvy můžete přidat během platnosti SSL certifikátu. Pokud byste dovršili předem objednaný počet SANů, neváhejte kontaktovat zákaznickou podporu, která vám pomůže certifikát rozšířit o další SAN jména. Omezení maximálního počtu je dané autoritou, většinou je to 24 SANů.
Neváhejte se v případě potřeby obrátit na naši zákaznickou podporu. Nově se na pracovníky podpory můžete obrátit i přes živý online chat.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz