Область покрытия SSL-сертификатов

SSL-сертификаты, позволяющие защищать данные пересылаемые между веб-сервером и веб-браузером, приобретают всю большую популярность. И как в любом деле, при их использовании возникают определённые нюансы и вопросы.

Самые простые и недорогие SSL-сертификаты привязываются к одному конкретному домену, например: domain.ru. При этом, нужно чётко понимать, что subdomain.domain.ru — другой домен, а subdomain2.domain.ru — третий.

Кроме однодоменных сертификатов, существует сертификаты, которые охватывают сразу несколько доменов.

  • Мультидоменные сертификаты — покрывают домены по списку, указанному при получении сертификата этого типа.
  • Поддоменные сертификаты — покрывают как сам указанный домен, так и его поддомены.

Например, мультидоменный SSL-сертификат может покрыть следующие домены:

  • cornflower.ru
  • buttercup.ru
  • chamomile.ru
  • www.chamomile.ru

А поддоменный сертификат, например, *.birch.ru может покрыть домены:

  • birch.ru
  • bark.birch.ru
  • leaves.birch.ru

Сертификаты этих типов дороже простых сертификатов, но они позволяют охватить одним сертификатом всё множество доменов, которые использует их владелец.

При выборе мультидоменного сертификата нужно различать и учитывать две его характеристики:

  • общий лимит числа доменов, которые, в принципе, можно включить в список охваченных сертификатом;
  • число доменов, которые можно включить в список сертификата без дополнительной платы.

  • Это обстоятельство лучше пояснить на примере. Допустим, вы приобретаете за некую денежную сумму мультидоменный сертификат, в который можно включить максимально 100 доменов, и при этом, без дополнительной платы в него можно включить 5 доменов.

    Это означает, что при включении первых пяти доменов дополнительная плата, помимо уже уплаченной за сертификат, не потребуется. А если вы захотите добавить в сертификат шестой, седьмой и последующие домены, вам придётся доплатить. Как правило, сумма доплаты меньше стоимости регистрации отдельного домена.

    О том, какие типы сертификатов существуют, можно прочитать здесь.

    Здесь нам нужно разобраться с возможностями и ограничениями мультидоменных и поддоменных SSL-сертификатов. Их возможности частично перекрываются, но конечно, не полностью.

    Существует ли универсальный сертификат, включающий в себя и мультидоменность, и поддоменность?

    Обычно, конкретный сертификат относит к конкретному типу. Но у некоторых центров сертификации есть сертификаты, объединяющие свойства мультидоменных и поддоменных сертификатов. Например, в 1cloud вам доступны два таких SSL-сертификата: Comodo PositiveSSL Multi-Domain Wildcard и Comodo Multi-Domain Wildcard SSL.

    Стоит учесть, что в реальных жизни редко требуется охватит массу разных доменов одновременно с их поддоменами. Кроме того, поддомены можно рассмотреть как независимые домены и включить их список мультидоменного сертификата.

    Можно ли использовать поддоменый сертификат для поддоменов разного уровня?

    Поддоменный сертификат охватывает поддомены только следующего уровня. Например, поддоменный сертификат *.birch.ru будет охватывать домены:

    • birch.ru
    • trunk.birch.ru
    • leaves.birch.ru ,
    но не будет охватывать домены:
    • planking.trunk.birch.ru
    • firewood.trunk.birch.ru .

    Рекомендации

    Так какой же сертификат выбрать: мультидоменный или поддоменный?!

    Однозначной рекомендации по этому вопросу быть не может. Нужно учитывать обстоятельства и потребности конкретного владельца доменов.

    • Если у владельца один домен и ему требуется защитить произвольное число поддоменов следующего уровня, ему выгоднее приобрести поддоменный сертификат типа WildCard (WC).
    • Если у владельца несколько совершенно разных доменов, ему нужен мультидоменный сертификат типа Subject Alternative Name (SAN). Другие названия этого типа сертификатов: Unified Communications Certificate (UCC), Multi Domain Certificate (MDC).
    • Если владельцу одного домена требуется защитить некоторое множество поддоменов разного уровня, он может воспользоваться мультидоменным сертификатом, перечислив все свои домены и поддомены в общем списке при составлении заявки на сертификат.
    • В большинстве случаев сертификат в период его действия можно перевыпустить без дополнительной платы.

    Заключение

    Изложенный порядок охвата доменов сертификатами не является технически предопределённым. Он связан с коммерческой политикой центров сертификации.

    К сожалению, в настоящее время ассортимент сертификатов многих центров сертификации выстроен крайне запутанно. Потенциальному приобретателю сертификата требуется приложить значительные усилия, чтобы выбрать для себя оптимальный вариант.

    При этом, техническая сторона дела остаётся вполне чёткой и формализованной.

    P.S. Что еще можно почитать в нашем блоге по теме SSL-сертификатов: