Multi-domain SSL (SAN)

Multi-domain SSL (SAN-сертификат) — SSL/TLS-сертификат, содержащий поле Subject Alternative Name (SAN) с перечнем всех защищаемых доменных имён. Один сертификат может покрывать от 2 до 250+ доменов — как основного, так и поддоменов, и совершенно разных доменных имён.

Как работает

Расширение SAN (Subject Alternative Name) добавлено в стандарт X.509 для решения проблемы: один IP-адрес обслуживает несколько доменов. С появлением SNI (Server Name Indication, RFC 6066) браузер при TLS Handshake сообщает запрашиваемое имя хоста, и сервер выбирает нужный сертификат. SAN-сертификат упрощает управление: вместо 10 отдельных сертификатов — один.

Поле Common Name (CN) устарело для валидации хоста. С 2000 года CA/Browser Forum требует проверять SAN, CN используется только для отображения. Все современные браузеры игнорируют CN при проверке и смотрят исключительно на SAN-список.

Пример SAN-сертификата с тремя доменами:

Subject: CN=example.com
SAN: DNS:example.com, DNS:www.example.com, DNS:shop.example.ru

История

Расширение SAN описано в RFC 2459 (1999) и RFC 5280 (2008). До широкого применения SAN использовался только один домен на сертификат. Поддержка SAN в браузерах стала стандартной к 2005 году. Let's Encrypt, запустившийся в 2016 году, по умолчанию выпускает сертификаты с SAN (основной домен + www). Максимум SAN в одном сертификате Let's Encrypt — 100 доменов.

Виды multi-domain сертификатов

• SAN DV — проверка только доменов, быстрая выдача, бесплатно через Let's Encrypt.
• SAN OV — проверка организации + список доменов.
• Wildcard + SAN — сочетание: *.example.com + other-domain.ru в одном сертификате.
• Unified Communications Certificate (UCC) — вариант SAN-сертификата для Microsoft Exchange/Skype for Business.

Связь с хостингом

На виртуальных хостингах и VPS SAN-сертификаты удобны при обслуживании нескольких доменов на одном сервере. Certbot и acme.sh поддерживают выпуск multi-domain через опцию -d: certbot certonly -d example.com -d www.example.com -d shop.example.com. Каждое добавленное имя требует отдельной DNS- или HTTP-валидации.

Структура SAN-сертификата

SAN (Subject Alternative Names) — расширение X.509, содержащее список доменов. Пример: domain.ru, www.domain.ru, mail.domain.ru, shop.domain.ru в одном сертификате. С 2017 года CN (Common Name) устарел, браузеры ориентируются только на SAN.

Ограничения и стоимость

Коммерческие SAN-сертификаты: 5–100 доменов, цена зависит от CA (DigiCert, Sectigo). Let's Encrypt выдаёт до 100 SAN бесплатно. У Let's Encrypt: ограничение 50 сертификатов на домен в неделю. Для большого числа поддоменов — Wildcard + SAN.

Применение в хостинге

SAN-сертификат удобен для мультисайтов: один сертификат на несколько сайтов клиентов хостинга. В Nginx — один vhost с SAN-сертификатом, директива server_name перечисляет все домены. SNI позволяет серверу выбирать правильный сертификат при наличии нескольких.

Автоматизация выпуска SAN сертификатов

certbot --cert-name main -d domain.ru -d www.domain.ru -d api.domain.ru — один сертификат для нескольких доменов. При добавлении нового домена: certbot --expand -d domain.ru -d newdomain.ru. DNS-01 challenge для wildcard: подходит для большого числа поддоменов без необходимости перечислять каждый.