UCC (Unified Communications Certificate) — многодоменный SSL/TLS-сертификат, содержащий несколько имён в полях SAN (Subject Alternative Name). Один UCC может защищать до 100–250 доменов и субдоменов одновременно. Технически UCC и мультидоменный сертификат (Multi-Domain, SAN Certificate) — одно и то же; термин UCC пришёл из корпоративной среды Microsoft.
Как работает
В X.509-сертификате есть поле Subject Alternative Name — список всех доменов, для которых действует сертификат. Центр сертификации (CA) проверяет владение каждым из добавленных доменов (как при выдаче DV или OV). Браузер принимает сертификат для любого домена из списка SAN.
Пример SAN в сертификате:
Subject: CN=example.com
SAN: example.com, www.example.com, mail.example.com, example.netUCC vs Wildcard vs одиночный сертификат
| Тип | Защищает | Гибкость | Стоимость |
|---|---|---|---|
| Одиночный DV | 1 домен + www | Минимальная | Бесплатно (Let's Encrypt) |
| Wildcard (*.example.com) | Все субдомены 1 уровня | Субдомены одного домена | $50–200/год |
| UCC/SAN | До 100+ разных доменов | Максимальная | $100–500/год (зависит от числа SAN) |
История
SAN как поле X.509 появилось в стандарте X.509 версии 3 (RFC 2459, 1999). Термин UCC появился с выходом Microsoft Exchange Server 2007, для которого Microsoft сертифицировала Unified Communications Certificates у нескольких CA. С 2017 года Chrome и другие браузеры начали игнорировать поле Common Name (CN) и ориентироваться только на SAN — это сделало SAN обязательным полем для всех сертификатов.
Связь с хостингом
UCC полезен при управлении несколькими доменами: один сертификат вместо десятка. При использовании Let's Encrypt через certbot мультидоменный сертификат добавляется флагом -d: до 100 доменов в одном запросе. Wildcard от Let's Encrypt требует DNS-верификации. При смене провайдера или добавлении новых доменов UCC нужно перевыпустить с обновлённым списком SAN.
UCC-сертификат в практике
UCC (Unified Communications Certificate) — тип Multi-domain SSL (SAN) сертификата, изначально разработанного для Microsoft Exchange и Lync. Поддерживает несколько имён (Subject Alternative Names, SAN): например, mail.example.com, autodiscover.example.com, webmail.example.com в одном сертификате. UCC может включать и корневые домены: example.com и www.example.com в одном SAN-сертификате. Максимальное количество SAN-имён у разных CA: DigiCert -- до 250, Sectigo -- до 100. UCC проще и дешевле, чем несколько отдельных сертификатов. При добавлении нового домена нужно перевыпустить сертификат.
UCC vs Wildcard
Wildcard SSL (*.example.com) покрывает все поддомены одного уровня одного домена. UCC покрывает перечисленные домены, включая разные корневые домены (example.com и example.org). Для Exchange/Teams используют UCC, для веб-сервисов с множеством поддоменов -- Wildcard. Комбинированный Wildcard UCC покрывает и несколько доменов, и их поддомены. DV UCC выдаётся за минуты через Let's Encrypt с несколькими SAN; OV UCC требует проверки организации. Стоимость UCC от Sectigo начинается от $50/год за 3 домена.
История
Microsoft разработала формат SAN для своих Unified Communications продуктов около 2005--2007 годов. CA/Browser Forum включил поддержку SAN в базовые требования в 2012 году. Let's Encrypt поддерживает SAN с самого запуска (2015) и позволяет выдавать сертификаты до 100 SAN-имён. Сегодня UCC и Multi-domain SSL -- синонимы в большинстве каталогов. CA (центр сертификации) выдаёт UCC после проверки владения каждым из указанных доменов.