قم بتأمين عدة نطاقات رئيسية وجميع نطاقاتها الفرعية من المستوى الأول تحت شهادة واحدة. تبدأ شهادات SSL متعددة النطاقات وذات النطاق البديل من 150 دولارًا/سنة، مع خيارات DV تُصدر في دقائق وخيارات OV في غضون 1-2 يوم عمل.


ما هي شهادة SSL متعددة النطاقات وذات النطاق البديل
تجمع شهادة SSL متعددة النطاقات وذات النطاق البديل بين منتجين في منتج واحد: شهادة متعددة النطاقات (SAN) وشهادة النطاق البديل (Wildcard). بدلًا من شراء كليهما بشكل منفصل أو تشغيل شهادات متعددة عبر بنيتك التحتية، يمكنك تغطية عدة نطاقات مستقلة والنطاقات الفرعية التابعة لكل منها من خلال شهادة واحدة مُصدرة.
تعتمد الآلية على حقل SAN. SAN، أو Subject Alternative Name، هو امتداد X.509 يسرد كل نطاق تغطيه شهادة واحدة. داخل هذا الحقل، يمكن أن تكون الإدخالات أسماء نطاقات عادية، أو إدخالات نطاق بديل، أو مزيجًا من الاثنين.

يبدو الإعداد النموذجي على النحو التالي:
- example.com
- *.example.com
- *.brand.net
تقوم هذه الشهادة الواحدة الآن بتأمين النطاق الجذري example.com، وكل نطاق فرعي من المستوى الأول تحته (shop.example.com وblog.example.com وما إلى ذلك)، وكل نطاق فرعي من المستوى الأول تحت brand.net.
تدعم معظم المنتجات في هذه الفئة ما يصل إلى 250 SAN إجمالًا، وإن كانت بعض العلامات التجارية تضع حدًا أدنى افتراضيًا وأخرى تتجاوز ذلك. لاحظ أن حرف البدل * يغطي مستوى نطاق فرعي واحدًا بالضبط.
متعدد النطاقات وذو النطاق البديل مقابل النطاق البديل مقابل متعدد النطاقات SAN
| الميزة | SSL النطاق البديل (Wildcard) | SSL متعدد النطاقات (SAN) | SSL متعدد النطاقات وذو النطاق البديل |
|---|---|---|---|
| تأمين نطاقات رئيسية متعددة | لا | نعم | نعم |
| تأمين نطاقات فرعية من المستوى الأول غير محدودة | نعم (نطاق واحد) | لا | نعم (لكل نطاق) |
| مستويات التحقق المتاحة | DV، OV | DV، OV، EV | DV، OV |
| سعة SAN النموذجية | نطاق أساسي واحد + نطاق بديل | حتى 250 | حتى 250 (يتفاوت حسب العلامة التجارية) |
| الأنسب لـ | نطاق واحد مع نطاقات فرعية كثيرة | عدة نطاقات مستقلة | عدة نطاقات، لكل منها نطاقات فرعية |
| سعر البداية في SSL Dragon | انظر فئة Wildcard | انظر فئة متعدد النطاقات | من 150 دولار/سنة |
يعتمد الاختيار بين الثلاثة على طبيعة نطاقاتك:
- هل تدير موقعًا واحدًا مع نطاقات فرعية كثيرة؟ يكفيك النطاق البديل (Wildcard).
- هل لديك عدة مواقع مستقلة دون هيكل نطاقات فرعية تقلق بشأنه؟ شهادة متعددة النطاقات (SAN) أرخص وأبسط.
- حين يكون لديك عدة مواقع ونطاقات فرعية تحت كل منها، فإن شهادة متعددة النطاقات وذات النطاق البديل هي المنتج الوحيد الذي يغطي كلا النمطين في شهادة واحدة، وهذا هو السبب في أن المشترين الذين يمتلكون محافظ من العلامات التجارية أو نطاقات عملاء مستضافة ينتهون هنا.
مستويات التحقق: DV وOV (ولماذا EV غير متاح)
تُصدر شهادات متعددة النطاقات وذات النطاق البديل على مستويين من التحقق: التحقق من النطاق (Domain Validation) والتحقق من المؤسسة (Organization Validation). يتحقق كل منهما من شيء مختلف بشأن مقدم الطلب قبل إصدار الشهادة.
- يتحقق DV فقط من أن مقدم الطلب يتحكم في النطاقات المدرجة.
يجري التحقق عبر إحدى ثلاث طرق (البريد الإلكتروني، أو سجل DNS، أو فحص ملف HTTP) وتُصدر الشهادات في دقائق. تناسب هذه الفئة المواقع الشخصية وبيئات التطوير والاختبار، إلى جانب الأدوات الداخلية ومنصات SaaS حيث تكون السرعة أهم من إظهار هوية المؤسسة. - يتحقق OV من الشركة الطالبة عبر السجلات الرسمية:
تسجيل الأعمال، والعنوان المسجل، ومكالمة للتحقق على رقم هاتف موثق. يستغرق الإصدار 1-2 يوم عمل. يظهر اسم الشركة الموثق في تفاصيل الشهادة، حيث يمكن للمشترين وفرق الأمان (ومراجعي المشتريات في الصفقات الكبيرة) رؤيته. تستفيد مواقع التجارة الإلكترونية والصناعات الخاضعة للتنظيم وأي موقع تكون فيه مطالبة هوية الشهادة ذات قيمة تجارية من فحص OV.
التحقق الموسع (Extended Validation) غير متاح لأي منتج متعدد النطاقات وذي نطاق بديل، في أي مكان.
تحظر المتطلبات الأساسية لمنتدى CA/Browser إدخالات SAN ذات النطاق البديل على شهادات EV، وتنطبق هذه القاعدة على أي شهادة تتضمن حتى إدخال نطاق بديل واحد. كان هذا هو الحال منذ تعريف EV لأول مرة ولم يتغير. الصفحات التي تدّعي وجود “EV متعدد النطاقات وذو نطاق بديل” مخطئة. إذا كنت بحاجة إلى EV لنطاق محدد، فاشترِه كشهادة EV منفردة منفصلة إلى جانب شهادتك متعددة النطاقات وذات النطاق البديل.
نقطة أخيرة تستحق الذكر الصريح: قوة التشفير متطابقة عبر DV وOV وEV. تتفاوض الثلاثة على نفس التشفير المتماثل بـ 256 بت خلال مصافحة TLS. يغير مستوى التحقق ما تتحقق منه CA بشأن مقدم الطلب، وليس ما يُشفَّر عبر الشبكة.
مدة صلاحية الشهادة البالغة 47 يومًا وما تعنيه لمشتري الشهادات متعددة النطاقات
في 11 أبريل 2025، وافق منتدى CA/Browser على الاقتراح SC-081v3، وهو جدول زمني مرحلي يضغط الحد الأقصى لعمر كل شهادة TLS عامة إلى 47 يومًا. يتضمن الجدول ثلاث مراحل:
- المرحلة 1 – سارية المفعول منذ 15 مارس 2026: أصبح الحد الأقصى لصلاحية شهادة TLS العامة 200 يوم.
- المرحلة 2 – 15 مارس 2027: ينخفض الحد إلى 100 يوم.
- المرحلة 3 – 15 مارس 2029: ينخفض الحد إلى 47 يومًا.
تنطبق هذه القاعدة على جميع شهادات TLS العامة، وجميع مستويات التحقق (DV وOV وEV)، وجميع أنواع المنتجات: بما في ذلك النطاق البديل ومتعدد النطاقات ومتعدد النطاقات وذو النطاق البديل.
يشعر مشترو الشهادات متعددة النطاقات وذات النطاق البديل بوطأة هذا التغيير أكثر من مشتري الشهادات الفردية. التجديد هنا أثقل لأنك تُعيد إثبات السيطرة على كل نطاق في قائمة SAN، وليس نطاقًا واحدًا فقط. مع انخفاض سقف الصلاحية، تتضاعف هذه التكلفة التشغيلية. بحلول عام 2029، ستُجري دورة التجديد تلك كل 6-7 أسابيع تقريبًا. يجب على كل من يخطط لعمليات متعددة السنوات على محفظة من النطاقات التفكير في الأتمتة الآن، وليس في عام 2029.
إذا كنت مستعدًا للأتمتة، ابدأ بصفحة ACME الخاصة بنا. تحفظ صادق واحد: ليس كل منتج متعدد النطاقات وذي نطاق بديل في السوق متوافقًا بالقدر ذاته مع الأتمتة. منتجات DV ذات فحوصات التحكم البسيطة في النطاق تعمل مع الأتمتة بسلاسة؛ أما منتجات OV التي تتطلب دورات إعادة التحقق من المؤسسة فتضيف احتكاكًا لن يزيله ACME وحده.
حالات الاستخدام الشائعة
يحمل SSL Dragon شهادات EV من أربع جهات إصدار شهادات (Certificate Authorities).
- محافظ الشركات متعددة العلامات التجارية
يمكن لشركة تمتلك عدة نطاقات علامات تجارية ونطاقات فرعية تحت كل منها (brandA.com و*.brandA.com وbrandB.net و*.brandB.net) استبدال أربع عمليات شراء شهادات منفصلة أو أكثر بشهادة واحدة مُصدرة. - منصات SaaS ذات النطاقات الفرعية للمستأجرين
عندما يحصل كل عميل على نطاق فرعي مخصص مثل customer1.app.com وcustomer2.app.com، تتولى تغطية النطاق البديل على نطاق التطبيق التعامل مع عدد غير محدود من المستأجرين. تغطي فتحات SAN المتبقية موقع التسويق وصفحة الحالة وAPI على نطاقات مختلفة. - مزودو الاستضافة والوكالات
إدارة نطاقات العملاء عبر علامات تجارية كثيرة، كلها تُخدَّم من بنية تحتية مشتركة، يناسب هذا المنتج تمامًا. شهادة واحدة، دورة تجديد واحدة، مفتاح خاص واحد للتدوير. - بيئات Microsoft Exchange والاتصالات
تعمل الشهادات متعددة النطاقات وذات النطاق البديل كشهادات Unified Communications (UCC)، وهو ما يتطلبه Exchange عندما يحتاج إلى تمثيل أسماء مضيفين متعددة للخدمة – autodiscover وmail وwebmail وغيرها – على نفس الشهادة.
شهادات SSL متعددة النطاقات وذات النطاق البديل التي نوفرها
خمسة منتجات من أربع جهات إصدار شهادات، موزعة بين DV وOV. تعرض البطاقات أعلاه مستوى التحقق ووقت الإصدار إلى جانب عدد SAN الافتراضي والسعر لكل منها. فيما يلي ما لا تتضمنه البطاقات: حدود توسيع SAN، وما هو مدرج، ولماذا تختار أحدها على الآخر.

Sectigo PositiveSSL Multi-Domain Wildcard
يغطي الحزمة الافتراضية 4 SANs وتتوسع حتى 250 عند الدفع. التشفير بـ 256 بت على مفتاح RSA بـ 2048 بت، مع توفر ECC. ختم الموقع المجاني وإعادة الإصدار غير المحدودة وترخيص الخادم غير المحدود مدرجة في الحزمة. أعادت Comodo CA تسمية نفسها إلى Sectigo في عام 2018: نفس شهادات الجذر، ونفس الثقة، واسم مختلف على الشارة.

GoGetSSL Multi-Domain Wildcard SSL
بأدنى سعر في هذه الصفحة، يغطي GoGetSSL 3 SANs افتراضيًا مع إمكانية التوسع إلى 250. المحتويات: ختم موقع، وإعادة إصدار مجانية، بالإضافة إلى ترخيص الخادم. كانت هذه CA من أوائل من أطلقوا منتجًا حقيقيًا في هذه الفئة، ولا يزال هذا العرض أرخص نقطة دخول للمشترين الذين لا يحتاجون إلى هوية مؤسسة موثقة.

GeoTrust True BusinessID Multi-Domain Wildcard
3 SANs افتراضية قابلة للتوسع إلى 250، مع اسم الشركة الموثق مدرجًا في تفاصيل الشهادة. يحمل المنتج ضمانًا كبيرًا مدعومًا من DigiCert، التي تمتلك GeoTrust. الميزة الحقيقية هي ميزة FLEX من GeoTrust: تتيح لك مزج إدخالات SAN ذات النطاق البديل وإدخالات SAN القياسية على نفس الشهادة، وهو أمر مفيد عندما لا يحتاج كل نطاق تغطيه إلى حماية النطاق الفرعي.

Thawte SSL Webserver Multi-Domain Wildcard
يقع في نفس مستوى OV مثل GeoTrust، مع 3 SANs افتراضية وإمكانية التوسع إلى 250. يأتي مع ختم موقع ديناميكي مترجم إلى 18 لغة، وترخيص خادم غير محدود، بالإضافة إلى إعادة إصدار مجانية غير محدودة. يعتمد الاختيار بين Thawte وGeoTrust في هذا المستوى عادةً على ختم الثقة الذي يتعرف عليه جمهورك. تتمتع Thawte بتعرف أقوى للعلامة التجارية في بعض الأسواق الخاضعة للتنظيم، وGeoTrust في أسواق أخرى.
أشياء يجب معرفتها قبل الشراء
- جميع النطاقات المدرجة عامة على الشهادة. يمكن لأي شخص ينقر على القفل ويفحص تفاصيل الشهادة قراءة كل نطاق في قائمة SAN. إذا كنت لا تريد ربط علامتين تجاريتين من علاماتك علنًا ببعضهما، فاستخدم شهادات منفصلة بدلًا من ذلك.
- إدخال SAN ذو النطاق البديل لا يغطي تلقائيًا النطاق الجذري. إدخال SAN بـ *.example.com يغطي mail.example.com وshop.example.com، لكنه لا يغطي example.com نفسه. أضف النطاق الجذري كـ SAN منفصل إذا كنت بحاجة إليه.
- تغطي النطاقات البديلة القياسية مستوى نطاق فرعي واحدًا. يغطي *.example.com النطاق mail.example.com لكن ليس dev.mail.example.com. لتأمين مستويات أعمق، أضف النطاق البديل الأعمق كإدخال SAN منفصل مثل *.mail.example.com.
- إعادة الإصدار مجانية، لكن تاريخ انتهاء الصلاحية يُنقل. إضافة أو إزالة SAN في منتصف الدورة لا يُعيد ضبط الساعة؛ ترث الشهادة الجديدة تاريخ انتهاء الصلاحية الأصلي. بالنسبة لمنتجات DV، لا يلزم إعادة التحقق لتعديل SANs؛ أما منتجات OV، فيمكن عادةً إعادة استخدام التحقق الحالي من المؤسسة إذا حدث التغيير ضمن نافذة الصلاحية.
الأسئلة المتداولة
معظم المنتجات على هذه الصفحة تدعم ما يصل إلى 250 SAN إجمالي (1 نطاق أساسي + 249 إضافي). تبدأ الحزم الافتراضية بـ 3 أو 4 SANs مضمنة؛ يمكنك إضافة المزيد بشكل فردي عند الدفع. تدعم بعض شهادات Sectigo OV متعددة النطاقات البرية حدود أعلى؛ تحقق من صفحة المنتج المحددة للحد الأقصى الدقيق.
نسخ الرابط
نعم، مجاني وغير محدود عبر إعادة الإصدار. تاريخ انتهاء الصلاحية يبقى كما هو؛ إعادة الإصدار لا تمدد صلاحية الشهادة. بالنسبة لـ DV، تحتاج فقط إلى إثبات التحكم في أي نطاقات مضافة حديثاً؛ بالنسبة لـ OV، يمكن عادة إعادة استخدام التحقق من المنظمة خلال فترة صلاحية الشهادة، لذا تكتمل إعادات الإصدار بشكل أسرع بعد الأولى.
نسخ الرابط
من الناحية الوظيفية، لا توجد فروقات في معظم الحالات. شهادة UCC (Unified Communications Certificate) هي التسمية الأقدم المستخدمة في سياقات Microsoft Exchange و Communications Server. تعمل شهادة wildcard متعددة النطاقات كشهادة UCC وتدعم نفس مرونة FQDN التي يتطلبها Exchange لأسماء المضيفين الخاصة به مثل autodiscover و mail و webmail.
نسخ الرابط
تم تغطيته في قسم التحقق أعلاه. النسخة المختصرة: متطلبات CA/Browser Forum الأساسية تحظر إدخالات SAN البدل على شهادات Extended Validation. هذا معيار صناعي وليس قيد من SSL Dragon. عادة ما يقوم المشترون الذين يحتاجون إلى هوية EV على اسم مضيف محدد بتشغيل شهادتين جنباً إلى جنب — شهادة EV أحادية النطاق على اسم المضيف الرئيسي، والشهادة متعددة النطاقات البدل على بقية المحفظة.
نسخ الرابط
نعم. كل منتج على هذه الصفحة يتضمن ترخيص خادم غير محدود. لاحظ أن “غير محدود” يشير إلى الحق في التثبيت، وليس إلى أفضل الممارسات الأمنية. توزيع نفس المفتاح الخاص عبر عدة خوادم يزيد من نطاق التأثير إذا تم اختراق أي خادم واحد. استخدم سياسات تدوير المفتاح الخاص المناسبة لنطاق نشرك.
نسخ الرابط
تبقى الشهادات الموجودة صالحة حتى تاريخ انتهاء صلاحيتها المُصدَّر. يجب أن تتوافق الشهادات الجديدة الصادرة بعد كل موعد نهائي للمرحلة مع السقف الجديد: 200 يوم الآن، و100 يوم من مارس 2027، و47 يوم من مارس 2029. عند 47 يوم، تصبح الأتمتة متطلباً عملياً؛ راجع صفحة ACME الخاصة بنا للحصول على إرشادات الإعداد.
نسخ الرابط
استخدم أداة CSR Generator المجانية أو قم بإنشاؤها على خادمك باستخدام OpenSSL. يجب أن يكون الاسم الشائع (CN) نطاقًا غير بري؛ اسرد أي إدخالات بريّة (*.domain.com) في حقل SAN بدلاً من ذلك، وليس أبدًا في CN.
نسخ الرابط
لا تعرف ما تحتاجه؟
استخدم SSL Wizard لتحديد خياراتك، وسنساعدك في العثور على شهادة SSL المناسبة.
لا تعرف ما تحتاجه؟

