Nadcházející změny v použití SAN (DNS názvů)

15. 11. 2013 | Jindřich Zechmeister

DNS názvy v SSL certifikátech, označované jako SANy, slouží k rozšíření SSL certifikátu o další zabezpečené domény a názvy. Tato populární funkce však příští rok projde změnami a je vhodné se na ně připravit.

CAB forum a podmínky vystavení certifikátů

Koncem roku 2011 přijalo CAB forum (organizace sdružující hlavní CA a výrobce prohlížečů) dokument zvaný Baseline Requirements for the Issuance and Management of Publicly‐Trusted Certificates, Version 1.0. Jak název napovídá, jedná se podmínky pro vystavení digitálních certifikátů. Tato úprava se dotýká i použití rozšiřujících DNS názvů v certifikátech, takzvaných SANů.

V budoucnu budou všechny nové SSL certifikáty obsahovat plně kvalifikované domény (FQDN), což jsou takové domény, které obsahují označení všech nadřazených uzlů DNS systému. Interní názvy, které nejdou překládat pomocí veřejného DNS, nebudou dále v certifikátech používány. Stejně tak nebudou používány rezervované (interní) IP adresy, jejich rozsah je specifikován IANA. Jedná se zejména o prefixy 0, 10, 127 a 192, které se používají v interních sítích.

Nové TLD domény

ICANN je organizace, která spravuje a přiděluje internetové domény. Jak jistě víte, už dlouho se plánuje zavedení nových TLD domén a obohacení současného internetu o nové "koncovky". Některé z nových TLD domén mohou být použity v současně platných certifikátech jako interní název či doména. Protože však název jako TLD dosud neexistoval, nebyl při procesu ověření certifikátu tento název nijak kontrolován; ani to nebylo možné, protože ho mohl použít kdokoliv a nebyl nikým vlastněn.

Konec podpory interních domén a názvů

Typickým příkladem domény, která po změně nebude jako SAN použitelná, je .CORP. Tuto doménu používali administrátoři jako interní, ale časem bude oficiálně uvedena ICANNem jako další z TLD domén. Jakmile se bude doména používat i na internetu, nebude možné ji mít v certifikátech jako neověřenou doménu z minulosti. Dříve tento název v certifikátu nikomu nevadil, ale v budoucnu by se dal zneužít.

Po změně v podmínkách vystavení již nebude možné do certifikát vložit žádnou doménu, která nebude mít návaznost na veřejné DNS (nebude plně kvalifikovaná).

Kdy ke změnám dojde?

Již dnes se můžete setkat s omezením při žádosti o nový SSL certifikát se SAN. Certifikační autority nevystaví certifikát, který by nesplňoval podmínky a měl expirovat po 1. listopadu 2015. Nyní tedy již není možné žádat o certifikáty s "nekvalifikovanými" jmény  a privátní IP adresou na dva roky.

Po 1. říjnu 2016 začnou autority revokovat certifikáty, které nesplňují tyto podmínky:

  • obsahují nekvalifikovanou doménu (non-FQDN) - doménu, která není součástí veřejného DNS
  • obsahují IP adresu (nebude možné ani privátní IP)

Jak jsem naznačil výše, pokud by v platném SSL certifikátu byla interní doména, která je zároveň i TLD, musí být takový certifikát zneplatněn a doména následně pro nový certifikát znovu ověřena. K těmto krokům dojde právě po 1. 10. 2016.

Řešením je přechod na kvalifikované domény

Po uvedených datech nebude dále možné používat v SANech interní (rezervované) IP adresy (např. 192.168.0.1) a lokální názvy serverů (např. www.local). Všechny domény v SSL certifikátech budou muset být dosažitelné z internetu pomocí veřejného DNS systému. CAB forum doporučuje i několik možností, jak současná nekvalifikovaná jména nahradit.

DNS domain suffix search

Certifikační autority krom přechodu na FQDN domény doporučují použít tzv. DNS domain suffix search. Suffix search se používá v prostředí Active Directory a umožňuje zjednodušení DNS dotazů; při dotazu na jméno serveru připojuje i název dané domény. Více informací a možnosti nastavení najdete v článku Configuring DNS Search Suffixes. Hledání pomocí DNS suffixu typicky následuje po selhání lokálního překladu jména. V souvislosti s tím CAB forum doporučuje vypnout překlad NetBIOS jmen, vypnutí WINS serverů a překlad čistě s pomocí DNS. S vypnutím NetBIOS překladu však budou mít problémy počítače se systémem Windows 2000 a staršími; těch však ve firmách už mnoho nenajdeme.

Pro lokální jména lokální autorita

Správný způsob zajištění certifikátů pro lokální jména má být dle CAB fora lokální (firemní) certifikační autorita. Ta zabezpečí lokální jména a nebude potřeba tyto názvy přidávat do certifikátů důvěryhodných autorit. Navíc bude správa těchto certifikátů vnitrofiremní, což je pro firmu jednodušší. Prostředí Windows serverů může pro tuto správu využít Active Directory Certificate Services a firemní certifikáty vystavovat automaticky.

Pro malé sítě selfsigned certifikát

Pro malé sítě a infrastruktury, kde by nemělo nasazení Active Directory smysl, doporučuje CAB forum vydání self-signed certifikátů pro jednotlivé stroje. Myšlenka je podobná jako v předchozím případě, ale s nulovými náklady.

Používejte IPsec 

V mnoha případech jsou SSL certifikáty s nekvalifikovanými jmény použity jen ve snaze o zabezpečení kvůli požadavkům auditu, který vyžaduje  stálé šifrování důležitých dat. Jak zdůrazňuje CAB forum, šifrování bez silné autentizace (což je případ interních názvů) může vytvořit falešný pocit bezpečí (a uspokojit naivního administrátora); není skutečnou ochranou proti hrozbám zneužití nekvalifikovaných jmen.

IPsec může posloužit lépe, jak nevhodně vydaný SSL certifikát. IPsec chrání celý tok dat mezi spojenými stroji a je nezávislý na platformě. Microsoft Windows Active Directory nabízí nástroje pro automatický provisioning IPsec zabezpečení a umožňuje i ruční konfiguraci; umí také použit certifikáty a předsdílená hesla (Pre-shared key).

Máte-li pochybnosti, nechce si SANy ověřit

Pokud máte pochybnosti o možnosti využití SANů v certifikátu, nebo se chcete ujistit o možnosti jejich použití, nemusíte složitě počítat platnost certifikátu ve vztahu k výše uvedeným datům. Obraťte se na naši podporu a pošlete nám seznam domén, které potřebujete zabezpečit, a počet let platnosti případného certifikátu. Ověříme pro vás, zdali bude možné takový certifikát objednat a vystavit.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz