Sécurisez plusieurs domaines principaux et tous leurs sous-domaines de premier niveau sous un seul certificat. Les certificats SSL multi-domaines wildcard commencent à partir de 150 $/an, avec des options DV émises en quelques minutes et des options OV en 1 à 2 jours ouvrables.


Qu’est-ce qu’un certificat SSL multi-domaines wildcard
Un certificat SSL multi-domaines wildcard combine deux produits en un seul : un certificat multi-domaines (SAN) et un certificat wildcard. Au lieu d’acheter les deux séparément ou de gérer plusieurs certificats dans votre infrastructure, vous couvrez plusieurs domaines distincts et les sous-domaines de chacun à partir d’un seul certificat émis.
Le mécanisme repose sur le champ SAN. SAN, ou Subject Alternative Name, est une extension X.509 qui répertorie chaque domaine couvert par un seul certificat. Dans ce champ, les entrées peuvent être des noms de domaine ordinaires, des entrées wildcard, ou un mélange des deux.

Une configuration typique ressemble à ceci :
- example.com
- *.example.com
- *.brand.net
Ce certificat unique sécurise désormais le domaine nu example.com, chaque sous-domaine de premier niveau qui en dépend (shop.example.com, blog.example.com, etc.), ainsi que chaque sous-domaine de premier niveau de brand.net.
La plupart des produits de cette catégorie prennent en charge jusqu’à 250 SAN au total, bien que certaines marques fixent une limite inférieure par défaut et d’autres une limite supérieure. Notez que le caractère wildcard * couvre exactement un niveau de sous-domaine.
Multi-domaines wildcard vs wildcard vs multi-domaines SAN
| Fonctionnalité | SSL wildcard | SSL multi-domaines (SAN) | SSL multi-domaines wildcard |
|---|---|---|---|
| Sécurise plusieurs domaines principaux | Non | Oui | Oui |
| Sécurise un nombre illimité de sous-domaines de premier niveau | Oui (un domaine) | Non | Oui (par domaine) |
| Niveaux de validation disponibles | DV, OV | DV, OV, EV | DV, OV |
| Capacité SAN typique | 1 domaine de base + wildcard | Jusqu’à 250 | Jusqu’à 250 (varie selon la marque) |
| Idéal pour | Un domaine avec de nombreux sous-domaines | Plusieurs domaines distincts | Plusieurs domaines, chacun avec des sous-domaines |
| Prix de départ SSL Dragon | Voir la catégorie wildcard | Voir la catégorie multi-domaines | À partir de 150 $/an |
Le choix entre les trois dépend de la structure de vos domaines :
- Vous gérez un seul site web avec de nombreux sous-domaines ? Un certificat wildcard suffit.
- Vous avez plusieurs sites web distincts sans structure de sous-domaines à gérer ? Un certificat multi-domaines (SAN) est moins cher et plus simple.
- Dès lors que vous avez plusieurs sites web et des sous-domaines sous chacun, le certificat multi-domaines wildcard est le seul produit qui couvre les deux configurations dans un seul certificat, ce qui explique pourquoi les acheteurs disposant d’un portefeuille de marques ou de domaines clients hébergés finissent par choisir cette option.
Niveaux de validation : DV et OV (et pourquoi EV n’est pas disponible)
Les certificats multi-domaines wildcard sont émis à deux niveaux de validation : Domain Validation et Organization Validation. Chacun vérifie quelque chose de différent concernant le demandeur avant l’émission du certificat.
- DV vérifie uniquement que le demandeur contrôle les domaines listés.
La validation s’effectue via l’une des trois méthodes (e-mail, enregistrement DNS ou vérification de fichier HTTP) et les certificats sont émis en quelques minutes. Les sites personnels et les environnements de développement/test correspondent à ce niveau, tout comme les outils internes et les plateformes SaaS où la rapidité prime sur l’identité organisationnelle affichée. - OV vérifie l’entreprise demandeuse via des registres officiels :
Immatriculation de l’entreprise, adresse enregistrée et rappel téléphonique vers un numéro vérifié. L’émission prend 1 à 2 jours ouvrables. Le nom de l’entreprise vérifié apparaît dans les détails du certificat, où les acheteurs, les équipes de sécurité (et les responsables des achats, dans les transactions importantes) peuvent le consulter. Les sites e-commerce, les secteurs réglementés et toute propriété pour laquelle la déclaration d’identité du certificat a une valeur commerciale bénéficient de la vérification OV.
Extended Validation n’est proposé pour aucun produit multi-domaines wildcard, où que ce soit.
Les Baseline Requirements du CA/Browser Forum interdisent les entrées SAN wildcard sur les certificats EV, et cette règle s’applique à tout certificat comportant ne serait-ce qu’une seule entrée wildcard. Cette disposition existe depuis la définition initiale de l’EV et n’a pas changé. Les pages affirmant qu’un « EV multi-domaines wildcard » existe sont dans l’erreur. Si vous avez besoin de l’EV pour un domaine spécifique, achetez-le sous la forme d’un certificat EV mono-domaine distinct, en complément de votre certificat multi-domaines wildcard.
Un dernier point qu’il convient de préciser clairement : la robustesse du chiffrement est identique pour DV, OV et EV. Les trois négocient le même chiffrement symétrique 256 bits lors de la poignée de main TLS. Le niveau de validation change ce que la CA vérifie concernant le demandeur, et non ce qui est chiffré sur le réseau.
La durée de vie de 47 jours des certificats et ce que cela signifie pour les acheteurs multi-domaines
Le 11 avril 2025, le CA/Browser Forum a approuvé le Ballot SC-081v3, un calendrier progressif qui réduit la durée de vie maximale de chaque certificat TLS public à 47 jours. Ce calendrier comporte trois phases :
- Phase 1 – déjà en vigueur depuis le 15 mars 2026 : la validité maximale des certificats TLS publics est désormais de 200 jours.
- Phase 2 – 15 mars 2027 : la limite passe à 100 jours.
- Phase 3 – 15 mars 2029 : la limite passe à 47 jours.
Cette règle s’applique à tous les certificats TLS publics, à tous les niveaux de validation (DV, OV, EV) et à tous les types de produits : wildcard, multi-domaines et multi-domaines wildcard inclus.
Les acheteurs de certificats multi-domaines wildcard ressentent ce changement plus fortement que les acheteurs de certificats uniques. Un renouvellement est ici plus lourd, car vous devez re-prouver le contrôle de chaque domaine figurant dans la liste SAN, et pas seulement d’un seul. À mesure que le plafond de validité diminue, ce coût opérationnel s’accumule. D’ici 2029, vous effectuerez ce cycle de renouvellement environ toutes les 6 à 7 semaines. Toute personne planifiant des opérations pluriannuelles sur un portefeuille de domaines devrait envisager l’automatisation dès maintenant, et non en 2029.
Si vous êtes prêt à automatiser, commencez par notre page ACME. Une mise en garde honnête : tous les produits multi-domaines wildcard du marché ne sont pas également compatibles avec l’automatisation. Les produits DV avec des vérifications simples du contrôle de domaine s’automatisent facilement ; les produits OV qui nécessitent des cycles de re-validation de l’organisation ajoutent des contraintes que ACME seul ne résoudra pas.
Cas d’utilisation courants
SSL Dragon propose des certificats EV de quatre autorités de certification.
- Portefeuilles d’entreprises multi-marques
Une entreprise qui possède plusieurs domaines de marque ainsi que des sous-domaines sous chacun (brandA.com, *.brandA.com, brandB.net, *.brandB.net) peut remplacer quatre achats de certificats distincts ou plus par un seul certificat émis. - Plateformes SaaS avec sous-domaines par client
Lorsque chaque client dispose d’un sous-domaine personnalisé tel que customer1.app.com et customer2.app.com, la couverture wildcard sur le domaine de l’application gère un nombre illimité de clients. Les emplacements SAN restants couvrent le site marketing, la page de statut et l’API sur des domaines différents. - Hébergeurs et agences
La gestion des domaines clients sur de nombreuses marques, toutes servies depuis une infrastructure partagée, correspond parfaitement à ce produit. Un seul certificat, un seul cycle de renouvellement, une seule clé privée à faire tourner. - Environnements Microsoft Exchange et communications
Les certificats multi-domaines wildcard fonctionnent comme des Unified Communications Certificates (UCC), ce qu’Exchange requiert lorsqu’il a besoin que plusieurs noms d’hôtes de service – autodiscover, mail, webmail et autres – soient représentés sur le même certificat.
Certificats SSL multi-domaines wildcard que nous proposons
Cinq produits de quatre autorités de certification, répartis entre DV et OV. Les fiches ci-dessus indiquent le niveau de validation et le délai d’émission, ainsi que le nombre de SAN par défaut et le prix de chacun. Voici ce qui ne figure pas sur les fiches : les limites d’extension SAN, les inclusions et les raisons de choisir l’un plutôt qu’un autre.

Sectigo PositiveSSL Multi-Domain Wildcard
Le conditionnement par défaut couvre 4 SAN et peut être étendu jusqu’à 250 lors de la commande. Le chiffrement est de 256 bits sur une clé RSA de 2048 bits, avec ECC disponible. Un sceau de site gratuit, des réémissions illimitées et des licences serveur illimitées sont inclus. Comodo CA a été rebaptisé Sectigo en 2018 : mêmes certificats racine, même niveau de confiance, nom différent sur le badge.

GoGetSSL Multi-Domain Wildcard SSL
Au prix le plus bas de cette page, GoGetSSL couvre 3 SAN par défaut avec une extension possible jusqu’à 250. Inclusions : un sceau de site, des réémissions gratuites et des licences serveur. La CA a été l’une des premières à proposer un véritable produit dans cette catégorie, et cette offre reste le point d’entrée le moins cher pour les acheteurs qui n’ont pas besoin d’une identité organisationnelle vérifiée.

GeoTrust True BusinessID Multi-Domain Wildcard
3 SAN par défaut, extensibles jusqu’à 250, avec le nom de l’entreprise vérifié figurant dans les détails du certificat. Le produit est assorti d’une garantie substantielle soutenue par DigiCert, propriétaire de GeoTrust. Le véritable atout différenciateur est la fonctionnalité FLEX de GeoTrust : elle permet de mélanger des entrées SAN wildcard et des entrées SAN standard sur le même certificat, ce qui est utile lorsque tous les domaines couverts n’ont pas besoin d’une protection par sous-domaine.

Thawte SSL Webserver Multi-Domain Wildcard
Se situe au même niveau OV que GeoTrust, avec 3 SAN par défaut et une extension jusqu’à 250. Il est livré avec un sceau de site dynamique localisé en 18 langues, des licences serveur illimitées et des réémissions gratuites illimitées. Le choix entre Thawte et GeoTrust à ce niveau se résume généralement à savoir quel sceau de confiance votre audience reconnaît. Thawte bénéficie d’une meilleure notoriété dans certains marchés réglementés, GeoTrust dans d’autres.
Ce qu’il faut savoir avant d’acheter
- Tous les domaines listés sont publics sur le certificat. Toute personne qui clique sur le cadenas et inspecte les détails du certificat peut lire chaque domaine figurant dans la liste SAN. Si vous ne souhaitez pas que deux de vos marques soient publiquement associées l’une à l’autre, utilisez des certificats séparés.
- Une entrée SAN wildcard ne couvre pas automatiquement le domaine nu. Une entrée SAN de *.example.com couvre mail.example.com et shop.example.com, mais ne couvre pas example.com lui-même. Ajoutez le domaine nu comme entrée SAN distincte si vous en avez besoin.
- Les wildcards standard couvrent un seul niveau de sous-domaine. *.example.com couvre mail.example.com mais pas dev.mail.example.com. Pour sécuriser des niveaux plus profonds, ajoutez le wildcard correspondant comme entrée SAN distincte, par exemple *.mail.example.com.
- Les réémissions sont gratuites, mais la date d’expiration est conservée. L’ajout ou la suppression d’un SAN en cours de cycle ne remet pas le compteur à zéro ; le nouveau certificat hérite de la date d’expiration d’origine. Pour les produits DV, aucune re-validation n’est requise pour modifier les SAN ; pour les produits OV, la validation organisationnelle existante peut généralement être réutilisée si la modification intervient dans la fenêtre de validité.
Questions fréquemment posées
La plupart des produits sur cette page supportent jusqu’à 250 SANs au total (1 domaine principal + 249 supplémentaires). Les packages par défaut commencent avec 3 ou 4 SANs inclus ; vous pouvez en ajouter d’autres individuellement lors du paiement. Quelques certificats Sectigo OV multi-domaines avec wildcard supportent des limites plus élevées ; consultez la page produit spécifique pour connaître le plafond exact.
Copier le lien
Oui, gratuit et illimité via réémission. La date d’expiration reste la même ; la réémission n’étend pas la validité. Pour DV, vous devez seulement prouver le contrôle de tous les domaines nouvellement ajoutés ; pour OV, la validation organisationnelle peut généralement être réutilisée pendant la durée de vie du certificat, donc les réémissions se complètent plus rapidement après la première.
Copier le lien
Fonctionnellement aucune, dans la plupart des cas. UCC (Unified Communications Certificate) est l’ancienne dénomination utilisée dans les contextes Microsoft Exchange et Communications Server. Un certificat wildcard multi-domaine fonctionne comme un UCC et offre la même flexibilité FQDN qu’Exchange exige pour ses noms d’hôte autodiscover, mail et webmail.
Copier le lien
Couvert dans la section de validation ci-dessus. Version courte : les Baseline Requirements du CA/Browser Forum interdisent les entrées SAN wildcard sur les certificats Extended Validation. C’est une norme de l’industrie, pas une limitation d’SSL Dragon. Les acheteurs qui ont besoin d’une identité EV sur un nom d’hôte spécifique exécutent généralement deux certificats côte à côte — un EV single-domain sur le nom d’hôte principal, et le wildcard multi-domain sur le reste du portefeuille.
Copier le lien
Oui. Chaque produit sur cette page inclut une licence serveur illimitée. Notez que « illimitée » fait référence au droit d’installation, non aux meilleures pratiques de sécurité. Distribuer la même clé privée sur plusieurs serveurs augmente le rayon d’impact en cas de compromission d’un serveur. Utilisez des politiques de rotation de clé privée appropriées à l’échelle de votre déploiement.
Copier le lien
Les certificats existants restent valides jusqu’à leur date d’expiration émise. Les nouveaux certificats émis après chaque date limite de phase doivent respecter le nouveau plafond : 200 jours maintenant, 100 jours à partir de mars 2027, 47 jours à partir de mars 2029. À 47 jours, l’automatisation devient une exigence pratique ; consultez notre page ACME pour des conseils de configuration.
Copier le lien
Utilisez notre outil gratuit CSR Generator ou générez-le sur votre serveur avec OpenSSL. Le Common Name (CN) doit être un domaine sans wildcard ; listez toutes les entrées wildcard (*.domain.com) dans le champ SAN à la place, jamais dans le CN.
Copier le lien
Vous ne savez pas ce dont vous avez besoin ?
Utilisez notre assistant SSL Wizard pour sélectionner vos options, et nous vous aiderons à trouver le certificat SSL adapté.
Vous ne savez pas ce dont vous avez besoin ?

