Мультидоменные сертификаты - как защитить несколько доменов одним SSL?


Для владельцев нескольких сайтов процедура выпуска и установки сертификатов на свои ресурсы может проходить по двум сценариям. 

Вариант 1 - оформлять каждому сайту по своему собственному SSL. Для этого нужно генерировать персональный SCR ключ для каждого домена, выпускать разные сертификаты и проходить для каждого проверку, выполнять установку, по окончанию срока - делать перевыпуск на все используемые SSL, производить переустановку на сервер. Все это требует времени, сил и средств, но в итоге каждый сайт защищен и подтверждает свою принадлежность персоне или компании. 

Вариант 2 - использовать специальные сертификаты, которые в своем единственном числе могут защитить сразу несколько доменных имен, серверов или поддоменов. Такие сертификаты называются много- или мультидоменными (Multi-Domain). Далее мы более подробно рассмотрим, как они работают и какими опциями обладают.

Multi-Domain SSL - защита нескольких доменов

Многодоменные SSL, как и все остальные сертификаты, могут быть выпущены на физическое лицо (domain validation с проверкой почты), на юридическое лицо (organization validation с проверкой подлинности компании и прав на домен) и с расширенной проверкой организации и принадлежащего ей сайта (Extended Validation - зеленая строка в браузере). Подробнее о методах, этапах и сроках прохождения валидации, можно прочитать в статье - DV / OV / EV проверка при выпуске SSL.

По умолчанию мульти- или многодоменные SSL могут поддерживать от одного до нескольких доменных имен или субдоменов, а их общее количество может быть увеличено за дополнительную плату. В зависимости от бренда и опций сертификата, количество поддерживаемых доменных имен может быть увеличено до 200-250. Подробнее рассмотрим опции. 

SSL с опцией SAN (Subject Alternative Name)

Защита нескольких доменов, принадлежащих одному владельцу

Сертификаты с опцией SAN могут базово защищать от 1 до 3-х доменов, но иметь возможность расширять их количество. Например, Thawte SSL Web Server с проверкой компании по умолчанию защищает только 1 основной домен (с www и без), а при необходимости в дополнительных доменах, их можно докупить. Сертификат с опцией SAN может защищать несколько доменных имен на одном адресе IP.

Опция SAN используется для сертификатов с разными типами проверки: DV, OV и даже EV. 

UCC сертификаты

Защита нескольких доменов и/или конкретных поддоменов, принадлежащих одному владельцу

Unified Communication Certificate или единый сертификат связи защищает сразу несколько доменов частного лица (DV) или организации (OV). Из названия можно догадаться, что сертификат был создан для использования внутри одной инфраструктуры, так как его действие может распространяться на несколько доменов, поддоменов и сред. Единый сертификат связи отлично подходит для MS Exchange 2007, 2010, 2013, 2016, Office Communications Server 2007, Microsoft Lync, Office 365. Данные сертификаты работают как с внешними, так и внутренними доменными именами. 

Опция SAN для сертификатов UCC позволит расширить количество доменов.

Опция WildCard для мультидоменов

Защита нескольких доменов и поддоменов одной вложенности, принадлежащих одному владельцу

WildCard переводится с английского как «подстановочный знак». Для многодоменного сертификата, данная опция защищает неограниченное количество поддоменов одной вложенности, но не защищает основной домен. 

Например, основной домен, на который выпущен сертификат - example.com. Чтобы защитить его субдомены, нужно указать дополнительное имя в формате *.example.com. А для защиты доменов следующей вложенности, необходимо приобретать дополнительные расширения, например, *.mail.example.com.

Невозможно обеспечить неограниченное количество поддоменов для 2-го и 3-го уровня домена или 3-го и 4-го уровня вместе, только один неограниченный уровень домена. Пример: *.example.com, *.1.example.com, *.2.example.com*.

Сертификаты Multi-domain WildCard могут быть выпущены на частное лицо (DV) или на компанию (OV). Опция SAN для сертификатов позволит расширить количество доменов.

В чем особенность мультидоменных SSL:

  • Вы должны подтвердить право на использование всех защищаемых доменов физическим или юридическим лицом.
  • В печати сайта показана связь с основным доменом (это указывается в CSR при оформлении SSL) или компанией, на которую оформлен сертификат. Если такая связь нежелательна, то не используйте сертификат такого типа.
  • Multi-Domain и UCС по умолчанию защищают только основной домен без префикса WWW. Этот вопрос можно решить установкой редиректа на нужный вариант, однако на это стоит обратить внимание.
  • Дополнительные домены и имена хостов приобретаются отдельно. Для этого требуется перевыпуск сертификата (это бесплатно при заказе SSL в RackStore). 
  • Можно добавлять дополнительные имена с поддержкой поддоменов (в зависимости от конкретного сертификата).
  • Многодомные сертификаты экономят время - когда срок действия заканчивается, вы продлеваете один SSL на много доменов. Это удобнее, чем продлевать по одному SSL на каждый домен.

Перечень мультидоменных сертификатов с описанием опций можно посмотреть здесь. При возникновении вопросов или потребности в консультации наших специалистов - обращайтесь любым удобным способом.