hero digicert Image

Мультидоменные Wildcard SSL-сертификаты

Защитите несколько основных доменов и все их поддомены первого уровня одним сертификатом. Мультидоменные wildcard SSL-сертификаты начинаются от $150/год: DV-варианты выпускаются за несколько минут, OV-варианты — за 1-2 рабочих дня.

Иконка гарнитуры с надписью 'Support' под ней
Персональная поддержка
Логотип GLEIF со стилизованными буквами 'GLEIF' и абстрактным значком глобуса
Возврат средств в течение 25 дней

Что такое мультидоменный wildcard SSL-сертификат

Мультидоменный wildcard SSL-сертификат объединяет два продукта в одном: мультидоменный (SAN) сертификат и wildcard-сертификат. Вместо того чтобы приобретать оба по отдельности или использовать несколько сертификатов в рамках инфраструктуры, вы защищаете несколько отдельных доменов и поддомены под каждым из них с помощью одного выпущенного сертификата.

Механизм работы основан на поле SAN. SAN, или Subject Alternative Name, — это расширение X.509, в котором перечислены все домены, охватываемые одним сертификатом. В этом поле записи могут быть обычными доменными именами, wildcard-записями или их комбинацией.

Мультидоменные wildcard SSL-сертификаты

Типичная конфигурация выглядит следующим образом:

  • example.com
  • *.example.com
  • *.brand.net

Один такой сертификат защищает корневой домен example.com, все поддомены первого уровня под ним (shop.example.com, blog.example.com и т. д.), а также все поддомены первого уровня под brand.net.

Большинство продуктов в этой категории поддерживают до 250 SAN в общей сложности, хотя некоторые бренды по умолчанию устанавливают более низкий лимит, а другие — более высокий. Обратите внимание, что символ wildcard * охватывает ровно один уровень поддоменов.

Мультидоменный wildcard vs Wildcard vs Мультидоменный SAN

ХарактеристикаWildcard SSLМультидоменный (SAN) SSLМультидоменный Wildcard SSL
Защита нескольких основных доменовНетДаДа
Защита неограниченного числа поддоменов первого уровняДа (один домен)НетДа (для каждого домена)
Доступные уровни валидацииDV, OVDV, OV, EVDV, OV
Типичная ёмкость SAN1 базовый + wildcardДо 250До 250 (зависит от бренда)
Лучше всего подходит дляОдного домена с множеством поддоменовНескольких отдельных доменовНескольких доменов, каждый с поддоменами
Начальная цена на SSL DragonСмотреть категорию WildcardСмотреть категорию Multi-DomainОт $150/год

Выбор между тремя вариантами зависит от структуры ваших доменов:

  • Один сайт с множеством поддоменов? С этим справится wildcard-сертификат.
  • Несколько отдельных сайтов без разветвлённой структуры поддоменов? Мультидоменный (SAN) сертификат обойдётся дешевле и проще в управлении.
  • Если у вас несколько сайтов и поддомены под каждым из них, мультидоменный wildcard — единственный продукт, который охватывает оба сценария в рамках одного сертификата. Именно поэтому к нему обращаются владельцы портфелей брендов или хостинг-провайдеры, управляющие доменами клиентов.

Уровни валидации: DV и OV (и почему EV недоступен)

Мультидоменные wildcard-сертификаты выпускаются на двух уровнях валидации: Domain Validation и Organization Validation. Каждый из них проверяет разные сведения о заявителе перед выпуском сертификата.

Extended Validation не предусмотрен ни для одного мультидоменного wildcard-продукта.

Базовые требования CA/Browser Forum запрещают использование wildcard-записей SAN в EV-сертификатах, и это правило распространяется на любой сертификат, содержащий хотя бы одну wildcard-запись. Данное ограничение действует с момента появления EV и не изменилось. Страницы, утверждающие о существовании «EV мультидоменного wildcard», вводят в заблуждение. Если вам нужен EV для конкретного домена, приобретите отдельный EV-сертификат для одного домена в дополнение к мультидоменному wildcard.

Ещё один важный момент: стойкость шифрования одинакова для DV, OV и EV. Все три типа используют одно и то же 256-битное симметричное шифрование в процессе TLS-рукопожатия. Уровень валидации определяет, что именно CA проверяет у заявителя, а не то, что шифруется при передаче данных.

Срок действия сертификата 47 дней и что это означает для покупателей мультидоменных сертификатов

11 апреля 2025 года CA/Browser Forum утвердил Ballot SC-081v3 — поэтапный план, сокращающий максимальный срок действия любого публичного TLS-сертификата до 47 дней. План предусматривает три этапа:

  • Этап 1 — действует с 15 марта 2026 года: максимальный срок действия публичного TLS-сертификата теперь составляет 200 дней.
  • Этап 2 — 15 марта 2027 года: лимит снижается до 100 дней.
  • Этап 3 — 15 марта 2029 года: лимит снижается до 47 дней.

Правило распространяется на все публичные TLS-сертификаты, все уровни валидации (DV, OV, EV) и все типы продуктов: wildcard, мультидоменные и мультидоменные wildcard включительно.

Покупатели мультидоменных wildcard-сертификатов ощутят это изменение острее, чем владельцы одиночных сертификатов. Продление здесь требует больше усилий, поскольку необходимо повторно подтвердить контроль над каждым доменом в списке SAN, а не только над одним. По мере сокращения срока действия эти операционные затраты будут возрастать. К 2029 году цикл продления придётся проходить примерно каждые 6-7 недель. Всем, кто планирует долгосрочную работу с портфелем доменов, стоит задуматься об автоматизации уже сейчас, а не в 2029 году.

Если вы готовы к автоматизации, начните с нашей страницы ACME. Важная оговорка: не все мультидоменные wildcard-продукты на рынке одинаково удобны для автоматизации. DV-продукты с простой проверкой контроля домена автоматизируются без проблем; OV-продукты, требующие повторной валидации организации, создают дополнительные сложности, которые ACME сам по себе не устранит.

Типичные сценарии использования

SSL Dragon предлагает EV-сертификаты от четырёх удостоверяющих центров.

Мультидоменные wildcard SSL-сертификаты в нашем каталоге

Пять продуктов от четырёх удостоверяющих центров, разделённых на DV и OV. На карточках выше указаны уровень валидации, время выпуска, количество SAN по умолчанию и цена каждого продукта. Ниже — то, чего нет на карточках: лимиты расширения SAN, состав включённых опций и критерии выбора конкретного продукта.

Sectigo Logo

Sectigo PositiveSSL Multi-Domain Wildcard

Стандартный пакет включает 4 SAN с возможностью расширения до 250 при оформлении заказа. Шифрование — 256-битное на основе 2048-битного RSA-ключа, доступен также ECC. В комплект входят бесплатная печать сайта, неограниченное количество перевыпусков и неограниченное лицензирование серверов. Comodo CA переименован в Sectigo в 2018 году: те же корневые сертификаты, тот же уровень доверия, другое название.

GoGetSSL

GoGetSSL Multi-Domain Wildcard SSL

Самый доступный по цене продукт на этой странице: GoGetSSL по умолчанию включает 3 SAN с возможностью расширения до 250. В комплект входят печать сайта, бесплатные перевыпуски и лицензирование серверов. Этот CA был одним из первых, кто выпустил полноценный продукт в данной категории, и данное предложение по-прежнему остаётся самым доступным вариантом для покупателей, которым не требуется подтверждённая идентификация организации.

GeoTrust Logo

GeoTrust True BusinessID Multi-Domain Wildcard

По умолчанию 3 SAN с возможностью расширения до 250; подтверждённое название организации указывается в деталях сертификата. Продукт предоставляется со значительной гарантией, обеспеченной DigiCert, которому принадлежит GeoTrust. Ключевое преимущество — функция GeoTrust FLEX: она позволяет комбинировать wildcard-записи SAN и стандартные записи SAN в одном сертификате, что удобно, когда не для каждого домена требуется защита поддоменов.

Logo Digicert

Thawte SSL Webserver Multi-Domain Wildcard

Относится к тому же уровню OV, что и GeoTrust: 3 SAN по умолчанию с возможностью расширения до 250. В комплект входят динамическая печать сайта, локализованная на 18 языков, неограниченное лицензирование серверов и неограниченное количество бесплатных перевыпусков. Выбор между Thawte и GeoTrust на этом уровне, как правило, определяется тем, какой знак доверия лучше узнаёт ваша аудитория. Thawte пользуется большей узнаваемостью бренда на некоторых регулируемых рынках, GeoTrust — на других.

Что важно знать перед покупкой

Часто задаваемые вопросы

Сколько доменов может защитить многодоменный SSL-сертификат с подстановочным знаком?

Большинство продуктов на этой странице поддерживают до 250 всего SAN (1 основной домен + 249 дополнительных). Стандартные пакеты начинаются с 3 или 4 включенных SAN; вы можете добавить больше отдельно при оформлении заказа. Несколько многодоменных подстановочных сертификатов Sectigo OV поддерживают более высокие лимиты; проверьте конкретную страницу продукта для точного максимума.

Копировать ссылку

Могу ли я добавить или удалить домены после выдачи сертификата?

Да, бесплатно и без ограничений через переиздание. Дата истечения остаётся неизменной; переиздание не продлевает срок действия. Для DV вам нужно только подтвердить контроль над любыми вновь добавленными доменами; для OV проверка организации обычно может быть повторно использована в течение срока действия сертификата, поэтому переиздания завершаются быстрее после первого.

Копировать ссылку

В чем разница между многодоменным сертификатом с подстановочным знаком и сертификатом UCC?

Функционально никакой разницы в большинстве случаев. UCC (Unified Communications Certificate) — это старое название, используемое в контексте Microsoft Exchange и Communications Server. Сертификат с поддержкой нескольких доменов и подстановочных символов работает как UCC и обеспечивает ту же гибкость FQDN, которая требуется Exchange для его имён хостов autodiscover, mail и webmail.

Копировать ссылку

Почему нет опции EV multi-domain wildcard?

Рассмотрено в разделе валидации выше. Краткая версия: Baseline Requirements CA/Browser Forum запрещают записи подстановочных SAN на сертификатах Extended Validation. Это требование всей отрасли, а не ограничение SSL Dragon. Покупатели, которым нужна EV идентификация на одном конкретном хосте, обычно используют два сертификата параллельно — EV single-domain на основном хосте и многодоменный подстановочный сертификат на остальной портфель.

Копировать ссылку

Могу ли я установить один многодоменный сертификат с подстановочным знаком на несколько серверов?

Да. Каждый продукт на этой странице включает неограниченное лицензирование серверов. Обратите внимание, что «неограниченное» относится к праву на установку, а не к лучшим практикам безопасности. Распределение одного и того же приватного ключа на множество серверов увеличивает радиус поражения в случае компрометации любого из серверов. Используйте политики ротации приватных ключей, соответствующие масштабу вашего развертывания.

Копировать ссылку

Что произойдет с моим сертификатом, когда правило об ограничении срока действия в 47 дней полностью вступит в силу в 2029 году?

Существующие сертификаты остаются действительными до их установленной даты истечения. Новые сертификаты, выданные после каждого срока этапа, должны соответствовать новому ограничению: 200 дней сейчас, 100 дней с марта 2027 года, 47 дней с марта 2029 года. При 47 днях автоматизация становится практическим требованием; см. нашу страницу ACME для руководства по настройке.

Копировать ссылку

Как создать CSR для многодоменного сертификата с подстановочным знаком?

Используйте наш бесплатный инструмент CSR Generator или создайте его на вашем сервере с помощью OpenSSL. Common Name (CN) должно быть доменом без подстановочного знака; любые записи с подстановочными знаками (*.domain.com) указывайте в поле SAN, а не в CN.

Копировать ссылку

Не знаете, что вам нужно?

Воспользуйтесь нашим SSL Wizard, чтобы выбрать подходящие параметры, и мы поможем вам найти нужный SSL-сертификат.

Не знаете, что вам нужно?

Иллюстрация волшебника с посохом, творящего заклинание, с надписью 'SSL Wizard'

Наши клиенты и ключевые фигуры

Volvo logo
Netflix logo with a red background, displaying the text 'Netflix' in white.
Koton logo featuring stylized text and a light background.
Dufry logo
Phillips logo
Northrop Grumman Logo
Yale logo
Harvard logo
Oxford Logo
Rockefeller Logo
Goodwill Logo
Sapient Logo
Hawaii Logo
Army Logo
force Logo
Schneider Logo
cisco Logo
Cornell Logo

Оценка 4.8 из 5 от 1239 клиенты

avatar-male-4
Christopher Broderick
June 15, 2022, , united kingdom
Great selection of certificates with a clear definition of properties for each certificate makes it easy to choose the right one.
avatar-male-3
Munro James
October 31, 2020, Victoria, AU

Easier and cheaper than going directly and ordering via the vendor, thank you for the information and the simple shopping experience.

avatar-female-2
Kelly Mark
October 29, 2020, Dublin, IE

Excellent customer service when I ordered the wrong cert! The support team then helped me get the correct cert and refunded me on the incorrect cert I bought! Very fast and a happy customer.

Реальные оценки и отзывы покупателей на Shopper Approved. Прочитать их все.