Sertifikat SSL Multi-Domain Wildcard

Sertifikat SSL wildcard multi-domain menggabungkan dua produk menjadi satu: sertifikat multi-domain (SAN) dan sertifikat wildcard. Alih-alih membeli keduanya secara terpisah atau menjalankan beberapa sertifikat di seluruh infrastruktur Anda, Anda dapat mencakup beberapa domain yang berbeda dan subdomain di bawah masing-masing domain tersebut dari satu sertifikat yang diterbitkan.

Mekanismenya bertumpu pada field SAN. SAN, atau Subject Alternative Name, adalah ekstensi X.509 yang mencantumkan setiap domain yang dicakup oleh satu sertifikat. Di dalam field tersebut, entri dapat berupa nama domain biasa, entri wildcard, atau kombinasi keduanya.

Konfigurasi umum terlihat seperti ini:

• example.com
• *.example.com
• *.brand.net

Satu sertifikat tersebut kini mengamankan domain example.com tanpa subdomain, setiap subdomain tingkat pertama di bawahnya (shop.example.com, blog.example.com, dan sebagainya), serta setiap subdomain tingkat pertama di bawah brand.net.

Sebagian besar produk dalam kategori ini mendukung hingga 250 SAN secara total, meskipun beberapa merek membatasi lebih rendah secara default dan yang lain memperbolehkan lebih banyak. Perlu diperhatikan bahwa karakter wildcard * hanya mencakup tepat satu tingkat subdomain.

Memilih di antara ketiganya bergantung pada struktur domain Anda:

• Menjalankan satu situs web dengan banyak subdomain? Wildcard sudah cukup.
• Memiliki beberapa situs web terpisah tanpa struktur subdomain yang perlu dikhawatirkan? Sertifikat multi-domain (SAN) lebih murah dan lebih sederhana.
• Begitu Anda memiliki beberapa situs web dan subdomain di bawah masing-masing, multi-domain wildcard adalah satu-satunya produk yang mencakup kedua pola tersebut dalam satu sertifikat – itulah mengapa pembeli dengan portofolio merek atau domain klien yang dihosting berakhir di sini.

Sertifikat wildcard multi-domain diterbitkan pada dua tingkat validasi: Domain Validation dan Organization Validation. Masing-masing memverifikasi hal yang berbeda tentang pemohon sebelum sertifikat diterbitkan.

• DV hanya memverifikasi bahwa pemohon mengendalikan domain yang terdaftar.
  Validasi dijalankan melalui salah satu dari tiga metode (email, catatan DNS, atau pemeriksaan file HTTP) dan sertifikat diterbitkan dalam hitungan menit. Situs pribadi dan lingkungan dev/test cocok di sini, bersama dengan alat internal dan platform SaaS di mana kecepatan lebih penting daripada identitas organisasi yang ditampilkan.
• OV memverifikasi bisnis pemohon melalui catatan resmi:
  Pendaftaran bisnis, alamat terdaftar, dan panggilan balik ke nomor telepon yang terverifikasi. Penerbitan membutuhkan waktu 1-2 hari kerja. Nama bisnis yang terverifikasi muncul dalam detail sertifikat, di mana pembeli dan tim keamanan (serta peninjau pengadaan, dalam transaksi yang lebih besar) dapat melihatnya. Situs e-commerce, industri yang diatur, dan properti apa pun di mana klaim identitas sertifikat memiliki nilai komersial mendapat manfaat dari pemeriksaan OV.

Extended Validation tidak ditawarkan untuk produk wildcard multi-domain mana pun, di mana pun.

Persyaratan Dasar Forum CA/Browser melarang entri SAN wildcard pada sertifikat EV, dan aturan ini berlaku untuk sertifikat apa pun yang menyertakan bahkan satu entri wildcard. Hal ini telah berlaku sejak EV pertama kali didefinisikan dan tidak berubah. Halaman yang mengklaim adanya “EV multi-domain wildcard” adalah keliru. Jika Anda memerlukan EV untuk satu domain tertentu, belilah sebagai sertifikat EV single-domain terpisah di samping multi-domain wildcard Anda.

Satu poin terakhir yang perlu dinyatakan secara langsung: kekuatan enkripsi identik di seluruh DV, OV, dan EV. Ketiganya menegosiasikan enkripsi simetris 256-bit yang sama selama TLS handshake. Tingkat validasi mengubah apa yang diverifikasi CA tentang pemohon, bukan apa yang dienkripsi di jaringan.

Pada 11 April 2025, Forum CA/Browser menyetujui Ballot SC-081v3, sebuah jadwal bertahap yang mempersingkat masa berlaku maksimum setiap sertifikat TLS publik menjadi 47 hari. Jadwal tersebut memiliki tiga fase:

• Fase 1 – sudah berlaku sejak 15 Maret 2026: masa berlaku sertifikat TLS publik maksimum kini adalah 200 hari.
• Fase 2 – 15 Maret 2027: batas turun menjadi 100 hari.
• Fase 3 – 15 Maret 2029: batas turun menjadi 47 hari.

Aturan ini berlaku untuk semua sertifikat TLS publik, setiap tingkat validasi (DV, OV, EV), dan setiap jenis produk: wildcard, multi-domain, dan multi-domain wildcard termasuk di dalamnya.

Pembeli multi-domain wildcard merasakan perubahan ini lebih berat dibandingkan pembeli sertifikat tunggal. Pembaruan di sini lebih berat karena Anda harus membuktikan kembali kontrol atas setiap domain dalam daftar SAN, bukan hanya satu. Seiring turunnya batas masa berlaku, biaya operasional tersebut semakin bertambah. Pada tahun 2029, Anda akan menjalankan siklus pembaruan tersebut kira-kira setiap 6-7 minggu. Siapa pun yang merencanakan operasi multi-tahun pada portofolio domain harus memikirkan otomatisasi sekarang, bukan pada tahun 2029.

Jika Anda siap untuk mengotomatisasi, mulailah dengan halaman ACME kami. Satu catatan jujur: tidak setiap produk multi-domain wildcard di pasaran sama-sama ramah otomatisasi. Produk DV dengan pemeriksaan kontrol domain sederhana dapat diotomatisasi dengan mudah; produk OV yang memerlukan siklus validasi ulang organisasi menambah hambatan yang tidak dapat dihilangkan oleh ACME saja.

SSL Dragon menyediakan sertifikat EV dari empat Certificate Authority.

• Portofolio korporat multi-merek
  Perusahaan yang memiliki beberapa domain merek beserta subdomain di bawah masing-masing (brandA.com, *.brandA.com, brandB.net, *.brandB.net) dapat menggantikan empat atau lebih pembelian sertifikat terpisah dengan satu sertifikat yang diterbitkan.
• Platform SaaS dengan subdomain tenant
  Ketika setiap pelanggan mendapatkan subdomain khusus seperti customer1.app.com dan customer2.app.com, cakupan wildcard pada domain aplikasi menangani tenant tanpa batas. Slot SAN yang tersisa mencakup situs pemasaran, halaman status, dan API pada domain yang berbeda.
• Penyedia hosting dan agensi
  Mengelola domain klien di berbagai merek, semuanya dilayani dari infrastruktur bersama, sangat cocok dengan produk ini. Satu sertifikat, satu siklus pembaruan, satu private key untuk dirotasi.
• Lingkungan Microsoft Exchange dan Komunikasi
  Multi-domain wildcard berfungsi sebagai Unified Communications Certificates (UCC), yang diperlukan Exchange ketika membutuhkan beberapa nama host layanan – autodiscover, mail, webmail, dan lainnya – yang direpresentasikan pada sertifikat yang sama.

1. Semua domain yang terdaftar bersifat publik pada sertifikat. Siapa pun yang mengklik gembok dan memeriksa detail sertifikat dapat membaca setiap domain dalam daftar SAN. Jika Anda tidak ingin dua merek Anda dikaitkan secara publik satu sama lain, gunakan sertifikat terpisah.
2. SAN wildcard tidak secara otomatis mencakup domain tanpa subdomain. Entri SAN *.example.com mencakup mail.example.com dan shop.example.com, tetapi tidak mencakup example.com itu sendiri. Tambahkan domain tanpa subdomain sebagai SAN tersendiri jika Anda membutuhkannya.
3. Wildcard standar mencakup satu tingkat subdomain. *.example.com mencakup mail.example.com tetapi tidak mencakup dev.mail.example.com. Untuk mengamankan tingkat yang lebih dalam, tambahkan wildcard yang lebih dalam sebagai entri SAN terpisah seperti *.mail.example.com.
4. Penerbitan ulang gratis, tetapi tanggal kedaluwarsa tetap sama. Menambahkan atau menghapus SAN di tengah siklus tidak mereset hitungan waktu; sertifikat baru mewarisi tanggal kedaluwarsa asli. Untuk produk DV, tidak diperlukan validasi ulang untuk memodifikasi SAN; untuk produk OV, validasi organisasi yang ada biasanya dapat digunakan kembali jika perubahan terjadi dalam jendela masa berlaku.