Открыть сервис

Unified Communications Certificates

Unified Communications Certificates (UCC) — это тип цифрового сертификата X.509, который позволяет защитить несколько доменных имён (FQDN) и/или поддоменов с помощью одного сертификата. UCC также известны как сертификаты множественных доменов (SAN-сертификаты, от Subject Alternative Name). Они используются для обеспечения безопасного соединения по протоколам HTTPS, SIP, IMAP, SMTP и другим, особенно в средах, где один сервер обслуживает несколько доменов, например, в системах унифицированных коммуникаций (Microsoft Exchange, Skype for Business, Lync, Cisco Unified Communications Manager).

История

Технология UCC развивалась параллельно с распространением протокола TLS и необходимостью защиты многодоменных серверов. Первоначально сертификаты выдавались только на одно доменное имя (Common Name, CN). С ростом популярности веб-серверов, обслуживающих несколько сайтов, и корпоративных систем унифицированных коммуникаций, возникла потребность в сертификатах, поддерживающих несколько доменов.

В начале 2000-х годов спецификация X.509v3 была расширена за счёт поля Subject Alternative Name (SAN), которое позволяет включать в один сертификат список дополнительных доменных имён. Именно сертификаты, использующие поле SAN для перечисления нескольких доменов, и получили название UCC. Первоначально UCC активно продвигались корпорацией Microsoft для своих продуктов Exchange Server и Office Communications Server (позже — Lync, Skype for Business). В 2010-х годах, с ужесточением требований к безопасности и переходом на HTTPS, UCC стали стандартом для большинства коммерческих сертификатов.

Классификация

UCC не являются отдельным типом сертификата, а представляют собой способ использования поля SAN. В зависимости от уровня проверки и области применения выделяют несколько видов:

По уровню проверки (Validation Level)

  • Domain Validation (DV-UCC): Сертификат, подтверждающий только право владения доменом. Выдаётся автоматически или после минимальной проверки по электронной почте. Самый дешёвый и быстрый вариант, но не подходит для коммерческих сайтов, требующих доверия пользователей.
  • Organization Validation (OV-UCC): Сертификат, для получения которого требуется подтверждение существования организации (юридического лица). Обычно включает проверку по телефону или через базы данных регистраторов. Рекомендуется для бизнес-сайтов и систем унифицированных коммуникаций.
  • Extended Validation (EV-UCC): Сертификат с расширенной проверкой, требующий строгой верификации юридического статуса, физического адреса и полномочий заявителя. EV-UCC отображаются в адресной строке браузера зелёным цветом и названием организации. В настоящее время (2020-е годы) EV-сертификаты постепенно теряют свою визуальную значимость, так как браузеры (Chrome, Safari) перестали выделять их зелёным цветом.

По области применения

  • Стандартные UCC (SAN-сертификаты): Защищают несколько доменов, не связанных иерархически (например, example.com, mail.example.com, shop.example.org). Количество доменов варьируется от 2 до 100 и более (у некоторых центров сертификации — до 250).
  • Wildcard-UCC: Комбинируют возможности Wildcard-сертификата (защита всех поддоменов одного уровня, например .example.com) и SAN (дополнительные домены). Позволяют защитить, например, .example.com, example.com и www.example.org` одним сертификатом.
  • Сертификаты для унифицированных коммуникаций (UC-сертификаты): Специализированные UCC, оптимизированные для работы с продуктами Microsoft (Exchange, Skype for Business, Lync) и Cisco (CUCM, Unity Connection). Они поддерживают специфические расширения и требования к именам, такие как SIP-домены, SRV-записи и автодополнение.

Устройство и характеристики

Технически UCC ничем не отличается от обычного сертификата X.509. Ключевой элемент — поле Subject Alternative Name (SAN). В этом поле в виде списка перечисляются все доменные имена, для которых сертификат является действительным.

Пример структуры UCC:

  • Common Name (CN): mail.example.com (основное имя, хотя в современных браузерах оно игнорируется, если есть SAN)
  • Subject Alternative Names (SAN):
  • mail.example.com
  • autodiscover.example.com
  • lyncdiscover.example.com
  • sip.example.com
  • meet.example.com

Основные характеристики:

  • Количество доменов: от 2 до 250 (в зависимости от политики центра сертификации).
  • Срок действия: обычно 1–2 года (с 2020 года максимальный срок для публичных TLS-сертификатов составляет 397 дней, согласно требованиям CA/Browser Forum).
  • Тип ключа: RSA (2048 или 4096 бит) или ECDSA (P-256, P-384).
  • Совместимость: поддерживается всеми современными браузерами, почтовыми клиентами, веб-серверами (IIS, Apache, Nginx) и серверами унифицированных коммуникаций.

Применение

UCC находят применение в нескольких ключевых областях:

Корпоративные системы унифицированных коммуникаций

Наиболее распространённая область применения. Серверы Microsoft Exchange, Skype for Business, Lync, Cisco Unified Communications Manager (CUCM) требуют сертификатов, защищающих множество служб, работающих на разных доменах. Например, для Exchange Server обычно требуется сертификат, включающий:

  • mail.example.com (OWA, ActiveSync, EWS)
  • autodiscover.example.com (автоматическая настройка клиентов)
  • smtp.example.com (SMTP)
  • imap.example.com (IMAP)

Один UCC заменяет несколько отдельных сертификатов, упрощая администрирование и снижая затраты.

Хостинг и веб-серверы

UCC используются на виртуальных хостингах, где один сервер обслуживает несколько сайтов с разными доменами. Вместо покупки отдельного сертификата для каждого сайта администратор может приобрести один UCC и добавить в него все необходимые домены. Это особенно актуально для небольших компаний, управляющих несколькими проектами.

Защита внутренних и внешних ресурсов

UCC позволяют защитить как публичные (внешние) домены, так и внутренние (локальные) имена, используемые в корпоративной сети (например, dc01.example.local, exchange.internal.example.com). Однако следует учитывать, что публичные центры сертификации не выдают сертификаты на внутренние домены (.local, .internal), поэтому для таких целей используются либо самоподписанные сертификаты, либо корпоративные центры сертификации (PKI).

Преимущества и недостатки

Преимущества

  • Экономия средств: один сертификат дешевле, чем несколько отдельных.
  • Упрощение администрирования: меньше сертификатов для установки, обновления и отслеживания сроков действия.
  • Гибкость: возможность добавлять новые домены в процессе действия сертификата (при перевыпуске).
  • Совместимость: поддерживается всеми современными системами.

Недостатки

  • Безопасность: если один из доменов в сертификате скомпрометирован, злоумышленник может использовать сертификат для атаки на другой домен, если сервер настроен неправильно (например, при использовании SNI). Однако на практике это маловероятно.
  • Сложность управления: при большом количестве доменов (более 50) список SAN становится громоздким, и его сложно поддерживать в актуальном состоянии.
  • Ограничение на количество доменов: не все центры сертификации позволяют добавлять неограниченное количество доменов.

Интересные факты

  • В 2015 году компания Microsoft объявила, что для продуктов Exchange Server 2013 и 2016 рекомендуется использовать UCC с поддержкой до 100 доменов.
  • UCC часто называют «сертификатами для Exchange» из-за их тесной интеграции с продуктами Microsoft.
  • В 2020 году Google объявил, что EV-сертификаты больше не будут отображаться зелёным цветом в Chrome, что снизило их популярность для UCC.
  • В России сертификаты UCC выпускаются Национальным удостоверяющим центром (НУЦ) Минцифры, а также аккредитованными центрами сертификации (например, «Контур», «Такском»). Они используются для защиты государственных и корпоративных информационных систем, включая системы унифицированных коммуникаций.

Критика

Основная критика UCC связана с вопросами безопасности и управления:

  • Риск перекрёстного использования: если сертификат включает домены, принадлежащие разным организациям или разным отделам, это может привести к утечке данных или несанкционированному доступу.
  • Сложность отзыва: при компрометации одного домена приходится отзывать весь сертификат, что затрагивает все остальные домены.
  • Отсутствие стандартизации: разные центры сертификации по-разному реализуют поддержку UCC, что может вызывать проблемы совместимости.

Источники

  1. RFC 5280 — Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
  2. CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates.
  3. Microsoft TechNet: Understanding Unified Communications Certificates for Exchange Server.
  4. Cisco Unified Communications Manager Security Guide.
  5. Национальный удостоверяющий центр (НУЦ) Минцифры России — Порядок выпуска сертификатов.
  6. Статья «What is a UCC Certificate?» на сайте SSL.com.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →