Защитите несколько основных доменов и все их поддомены первого уровня одним сертификатом. Мультидоменные wildcard SSL-сертификаты начинаются от $150/год: DV-варианты выпускаются за несколько минут, OV-варианты — за 1-2 рабочих дня.


Что такое мультидоменный wildcard SSL-сертификат
Мультидоменный wildcard SSL-сертификат объединяет два продукта в одном: мультидоменный (SAN) сертификат и wildcard-сертификат. Вместо того чтобы приобретать оба по отдельности или использовать несколько сертификатов в рамках инфраструктуры, вы защищаете несколько отдельных доменов и поддомены под каждым из них с помощью одного выпущенного сертификата.
Механизм работы основан на поле SAN. SAN, или Subject Alternative Name, — это расширение X.509, в котором перечислены все домены, охватываемые одним сертификатом. В этом поле записи могут быть обычными доменными именами, wildcard-записями или их комбинацией.

Типичная конфигурация выглядит следующим образом:
- example.com
- *.example.com
- *.brand.net
Один такой сертификат защищает корневой домен example.com, все поддомены первого уровня под ним (shop.example.com, blog.example.com и т. д.), а также все поддомены первого уровня под brand.net.
Большинство продуктов в этой категории поддерживают до 250 SAN в общей сложности, хотя некоторые бренды по умолчанию устанавливают более низкий лимит, а другие — более высокий. Обратите внимание, что символ wildcard * охватывает ровно один уровень поддоменов.
Мультидоменный wildcard vs Wildcard vs Мультидоменный SAN
| Характеристика | Wildcard SSL | Мультидоменный (SAN) SSL | Мультидоменный Wildcard SSL |
|---|---|---|---|
| Защита нескольких основных доменов | Нет | Да | Да |
| Защита неограниченного числа поддоменов первого уровня | Да (один домен) | Нет | Да (для каждого домена) |
| Доступные уровни валидации | DV, OV | DV, OV, EV | DV, OV |
| Типичная ёмкость SAN | 1 базовый + wildcard | До 250 | До 250 (зависит от бренда) |
| Лучше всего подходит для | Одного домена с множеством поддоменов | Нескольких отдельных доменов | Нескольких доменов, каждый с поддоменами |
| Начальная цена на SSL Dragon | Смотреть категорию Wildcard | Смотреть категорию Multi-Domain | От $150/год |
Выбор между тремя вариантами зависит от структуры ваших доменов:
- Один сайт с множеством поддоменов? С этим справится wildcard-сертификат.
- Несколько отдельных сайтов без разветвлённой структуры поддоменов? Мультидоменный (SAN) сертификат обойдётся дешевле и проще в управлении.
- Если у вас несколько сайтов и поддомены под каждым из них, мультидоменный wildcard — единственный продукт, который охватывает оба сценария в рамках одного сертификата. Именно поэтому к нему обращаются владельцы портфелей брендов или хостинг-провайдеры, управляющие доменами клиентов.
Уровни валидации: DV и OV (и почему EV недоступен)
Мультидоменные wildcard-сертификаты выпускаются на двух уровнях валидации: Domain Validation и Organization Validation. Каждый из них проверяет разные сведения о заявителе перед выпуском сертификата.
- DV проверяет только то, что заявитель контролирует указанные домены.
Валидация выполняется одним из трёх методов (по электронной почте, через DNS-запись или проверку HTTP-файла), а сертификаты выпускаются за несколько минут. Этот вариант подходит для личных сайтов, сред разработки и тестирования, а также внутренних инструментов и SaaS-платформ, где скорость важнее отображения идентификационных данных организации. - OV проверяет запрашивающую организацию по официальным документам:
регистрационные данные компании, юридический адрес и обратный звонок на подтверждённый номер телефона. Выпуск занимает 1-2 рабочих дня. Подтверждённое название организации отображается в деталях сертификата, где его могут увидеть покупатели, специалисты по безопасности и сотрудники отдела закупок в крупных сделках. OV-проверка особенно полезна для сайтов электронной коммерции, регулируемых отраслей и любых ресурсов, где идентификационные данные сертификата имеют коммерческую ценность.
Extended Validation не предусмотрен ни для одного мультидоменного wildcard-продукта.
Базовые требования CA/Browser Forum запрещают использование wildcard-записей SAN в EV-сертификатах, и это правило распространяется на любой сертификат, содержащий хотя бы одну wildcard-запись. Данное ограничение действует с момента появления EV и не изменилось. Страницы, утверждающие о существовании «EV мультидоменного wildcard», вводят в заблуждение. Если вам нужен EV для конкретного домена, приобретите отдельный EV-сертификат для одного домена в дополнение к мультидоменному wildcard.
Ещё один важный момент: стойкость шифрования одинакова для DV, OV и EV. Все три типа используют одно и то же 256-битное симметричное шифрование в процессе TLS-рукопожатия. Уровень валидации определяет, что именно CA проверяет у заявителя, а не то, что шифруется при передаче данных.
Срок действия сертификата 47 дней и что это означает для покупателей мультидоменных сертификатов
11 апреля 2025 года CA/Browser Forum утвердил Ballot SC-081v3 — поэтапный план, сокращающий максимальный срок действия любого публичного TLS-сертификата до 47 дней. План предусматривает три этапа:
- Этап 1 — действует с 15 марта 2026 года: максимальный срок действия публичного TLS-сертификата теперь составляет 200 дней.
- Этап 2 — 15 марта 2027 года: лимит снижается до 100 дней.
- Этап 3 — 15 марта 2029 года: лимит снижается до 47 дней.
Правило распространяется на все публичные TLS-сертификаты, все уровни валидации (DV, OV, EV) и все типы продуктов: wildcard, мультидоменные и мультидоменные wildcard включительно.
Покупатели мультидоменных wildcard-сертификатов ощутят это изменение острее, чем владельцы одиночных сертификатов. Продление здесь требует больше усилий, поскольку необходимо повторно подтвердить контроль над каждым доменом в списке SAN, а не только над одним. По мере сокращения срока действия эти операционные затраты будут возрастать. К 2029 году цикл продления придётся проходить примерно каждые 6-7 недель. Всем, кто планирует долгосрочную работу с портфелем доменов, стоит задуматься об автоматизации уже сейчас, а не в 2029 году.
Если вы готовы к автоматизации, начните с нашей страницы ACME. Важная оговорка: не все мультидоменные wildcard-продукты на рынке одинаково удобны для автоматизации. DV-продукты с простой проверкой контроля домена автоматизируются без проблем; OV-продукты, требующие повторной валидации организации, создают дополнительные сложности, которые ACME сам по себе не устранит.
Типичные сценарии использования
SSL Dragon предлагает EV-сертификаты от четырёх удостоверяющих центров.
- Корпоративные портфели с несколькими брендами
Компания, владеющая несколькими брендовыми доменами и поддоменами под каждым (brandA.com, *.brandA.com, brandB.net, *.brandB.net), может заменить четыре и более отдельных сертификата одним выпущенным сертификатом. - SaaS-платформы с поддоменами для клиентов
Когда каждый клиент получает собственный поддомен вида customer1.app.com и customer2.app.com, wildcard-покрытие домена приложения обеспечивает защиту неограниченного числа клиентов. Оставшиеся слоты SAN покрывают маркетинговый сайт, страницу статуса и API на других доменах. - Хостинг-провайдеры и агентства
Управление клиентскими доменами множества брендов, размещёнными на общей инфраструктуре, идеально подходит для этого продукта. Один сертификат, один цикл продления, один закрытый ключ для ротации. - Среды Microsoft Exchange и коммуникационных сервисов
Мультидоменные wildcard-сертификаты функционируют как Unified Communications Certificates (UCC) — именно такой формат требует Exchange, когда необходимо представить несколько служебных имён хостов (autodiscover, mail, webmail и другие) в рамках одного сертификата.
Мультидоменные wildcard SSL-сертификаты в нашем каталоге
Пять продуктов от четырёх удостоверяющих центров, разделённых на DV и OV. На карточках выше указаны уровень валидации, время выпуска, количество SAN по умолчанию и цена каждого продукта. Ниже — то, чего нет на карточках: лимиты расширения SAN, состав включённых опций и критерии выбора конкретного продукта.

Sectigo PositiveSSL Multi-Domain Wildcard
Стандартный пакет включает 4 SAN с возможностью расширения до 250 при оформлении заказа. Шифрование — 256-битное на основе 2048-битного RSA-ключа, доступен также ECC. В комплект входят бесплатная печать сайта, неограниченное количество перевыпусков и неограниченное лицензирование серверов. Comodo CA переименован в Sectigo в 2018 году: те же корневые сертификаты, тот же уровень доверия, другое название.

GoGetSSL Multi-Domain Wildcard SSL
Самый доступный по цене продукт на этой странице: GoGetSSL по умолчанию включает 3 SAN с возможностью расширения до 250. В комплект входят печать сайта, бесплатные перевыпуски и лицензирование серверов. Этот CA был одним из первых, кто выпустил полноценный продукт в данной категории, и данное предложение по-прежнему остаётся самым доступным вариантом для покупателей, которым не требуется подтверждённая идентификация организации.

GeoTrust True BusinessID Multi-Domain Wildcard
По умолчанию 3 SAN с возможностью расширения до 250; подтверждённое название организации указывается в деталях сертификата. Продукт предоставляется со значительной гарантией, обеспеченной DigiCert, которому принадлежит GeoTrust. Ключевое преимущество — функция GeoTrust FLEX: она позволяет комбинировать wildcard-записи SAN и стандартные записи SAN в одном сертификате, что удобно, когда не для каждого домена требуется защита поддоменов.

Thawte SSL Webserver Multi-Domain Wildcard
Относится к тому же уровню OV, что и GeoTrust: 3 SAN по умолчанию с возможностью расширения до 250. В комплект входят динамическая печать сайта, локализованная на 18 языков, неограниченное лицензирование серверов и неограниченное количество бесплатных перевыпусков. Выбор между Thawte и GeoTrust на этом уровне, как правило, определяется тем, какой знак доверия лучше узнаёт ваша аудитория. Thawte пользуется большей узнаваемостью бренда на некоторых регулируемых рынках, GeoTrust — на других.
Что важно знать перед покупкой
- Все указанные домены публично отображаются в сертификате. Любой пользователь, нажавший на значок замка и просмотревший детали сертификата, увидит каждый домен в списке SAN. Если вы не хотите, чтобы два ваших бренда были публично связаны друг с другом, используйте отдельные сертификаты.
- Wildcard-запись SAN автоматически не охватывает корневой домен. Запись SAN вида *.example.com защищает mail.example.com и shop.example.com, но не сам example.com. Добавьте корневой домен как отдельную запись SAN, если он вам нужен.
- Стандартный wildcard охватывает только один уровень поддоменов. *.example.com защищает mail.example.com, но не dev.mail.example.com. Для защиты более глубоких уровней добавьте соответствующую wildcard-запись как отдельный SAN, например *.mail.example.com.
- Перевыпуски бесплатны, но дата истечения срока действия не меняется. Добавление или удаление SAN в течение срока действия не сбрасывает отсчёт времени: новый сертификат наследует исходную дату истечения. Для DV-продуктов повторная валидация при изменении SAN не требуется; для OV-продуктов существующая валидация организации, как правило, может быть повторно использована, если изменение вносится в пределах срока действия.
Часто задаваемые вопросы
Большинство продуктов на этой странице поддерживают до 250 всего SAN (1 основной домен + 249 дополнительных). Стандартные пакеты начинаются с 3 или 4 включенных SAN; вы можете добавить больше отдельно при оформлении заказа. Несколько многодоменных подстановочных сертификатов Sectigo OV поддерживают более высокие лимиты; проверьте конкретную страницу продукта для точного максимума.
Копировать ссылку
Да, бесплатно и без ограничений через переиздание. Дата истечения остаётся неизменной; переиздание не продлевает срок действия. Для DV вам нужно только подтвердить контроль над любыми вновь добавленными доменами; для OV проверка организации обычно может быть повторно использована в течение срока действия сертификата, поэтому переиздания завершаются быстрее после первого.
Копировать ссылку
Функционально никакой разницы в большинстве случаев. UCC (Unified Communications Certificate) — это старое название, используемое в контексте Microsoft Exchange и Communications Server. Сертификат с поддержкой нескольких доменов и подстановочных символов работает как UCC и обеспечивает ту же гибкость FQDN, которая требуется Exchange для его имён хостов autodiscover, mail и webmail.
Копировать ссылку
Рассмотрено в разделе валидации выше. Краткая версия: Baseline Requirements CA/Browser Forum запрещают записи подстановочных SAN на сертификатах Extended Validation. Это требование всей отрасли, а не ограничение SSL Dragon. Покупатели, которым нужна EV идентификация на одном конкретном хосте, обычно используют два сертификата параллельно — EV single-domain на основном хосте и многодоменный подстановочный сертификат на остальной портфель.
Копировать ссылку
Да. Каждый продукт на этой странице включает неограниченное лицензирование серверов. Обратите внимание, что «неограниченное» относится к праву на установку, а не к лучшим практикам безопасности. Распределение одного и того же приватного ключа на множество серверов увеличивает радиус поражения в случае компрометации любого из серверов. Используйте политики ротации приватных ключей, соответствующие масштабу вашего развертывания.
Копировать ссылку
Существующие сертификаты остаются действительными до их установленной даты истечения. Новые сертификаты, выданные после каждого срока этапа, должны соответствовать новому ограничению: 200 дней сейчас, 100 дней с марта 2027 года, 47 дней с марта 2029 года. При 47 днях автоматизация становится практическим требованием; см. нашу страницу ACME для руководства по настройке.
Копировать ссылку
Используйте наш бесплатный инструмент CSR Generator или создайте его на вашем сервере с помощью OpenSSL. Common Name (CN) должно быть доменом без подстановочного знака; любые записи с подстановочными знаками (*.domain.com) указывайте в поле SAN, а не в CN.
Копировать ссылку
Не знаете, что вам нужно?
Воспользуйтесь нашим SSL Wizard, чтобы выбрать подходящие параметры, и мы поможем вам найти нужный SSL-сертификат.
Не знаете, что вам нужно?

