Un certificat SSL SAN (ou UCC) permet de protéger plusieurs noms de domaines à la fois, d'où son autre nom de certificat multi-domaines. Il permet de sécuriser plusieurs noms de domaine ou sous-domaines à l’aide d’un seul certificat SSL.
C’est donc l’idéal pour sécuriser les différentes marques déposées et exploitées par une organisation par exemple.
SAN = Subject Alternative Name = Autre Nom du Sujet
UCC = Unified Communications Certificate = Certificat de communications unifiées
Explication du champ SAN (Autre nom de sujet, ou nom de sujet alternatif)
Le champ SAN (Subject Alternative Name) vous permet de spécifier des noms d’hôtes supplémentaires (sites web, adresses IP, etc.) à protéger par un seul et unique certificat SSL multi-domaines (SAN).
L’extension SAN (Subject Alternative Name) permet de sécuriser les noms alternatifs de sujet (domaines et sous-domaines supplémentaires) et elle est aujourd’hui largement utilisée pour les environnements et.ou les plates-formes qui doivent sécuriser plusieurs sites web (ou noms d'hôte) avec différents domaines et sous-domaines.
Que pouvez-vous faire avec des SAN ?
-
Noms d’hôtes sécurisés sur différents domaines dans un seul et unique certificat SSL : un certificat générique peut protéger tous les sous-domaines de premier niveau sur un seul domaine entier, tel que *.example.com. Cependant, un seul certificat générique ne peut pas protéger à la fois example.com et example.net, ou encore leurs sous-domaines www.example.com et www.example.net, qui constituent 2 noms de domaines distincts. On utilisera donc un SAN pour cela, qui permettra de sécuriser plusieurs domaines et sous-domaines distincts avec un seul certificat.
-
Hôte virtuel pour plusieurs sites sécurisés par SSL sur une seule adresse IP : l’hébergement de plusieurs sites protégés par SSL sur un seul serveur nécessite généralement une adresse IP unique par site web, mais un certificat multi-domaines SAN peut résoudre ce problème. Un certificat SSL SAN multi-domaines permet de protéger un grand nombre de sites web, jusqu’à 250 sites web ou noms d’hôte, sous différents noms de domaine et.ou sous-domaines, à l'aide d’un seul et unique certificat SSL. Microsoft IIS et Apache sont tous deux capables d’héberger des sites HTTPS virtuels à l’aide de certificats multi-domaines SAN.
- Simplifiez considérablement la configuration SSL de votre serveur : l’utilisation d’un certificat multi-domaines SAN vous permet d’éviter les difficultés et le temps nécessaires à la configuration de plusieurs adresses IP sur votre serveur en liant chaque adresse IP à un certificat différent et en essayant de tout unifier.
Qu'est-ce qu'un certificat SSL SAN multi-domaines (ou UCC) ?
Un certificat SSL SAN permet de sécuriser plusieurs domaines et sous-domaines définis à la fabrication, il inclut généralement 3 domaines par défaut, et jusqu'à 250 SAN supplémentaires sur paiement.
Il permet de protéger 3 domaines différents, par exemple : example.com, example.net, et domain.com.
Il peut également protéger 3 sous-domaines distincts, par exemple : shop.example.com, blog.example.net, et mail.domain.com.
Enfin, il peut aussi protéger 3 domaines et sous-domaines différents, par exemple : example.com, example.net, et shop.domain.com.
Les certificats SSL SAN sont généralement moins chers que les certificats SSL Wildcard, mais contrairement à ces derniers, ils ne permettent de sécuriser qu’un nombre précis et définis de noms de domaine qui doivent être identifiés dès la fabrication. Pour y ajouter des domaines supplémentaires après obtention du certificat, il vous faudra payer un supplément.
Pour la configuration de ces certificats SAN, lors de la génération de la CSR (Certificate Signing Request), vous indiquez votre premier domaine à protéger. Par exemple, example.com. Et puis, en dessous de la zone de texte CSR, dans les champs des noms alternatifs ou domaines supplémentaires (SAN), vous ajoutez les autres domaines et.ou sous-domaines que vous souhaitez également protéger.
Qu'est-ce qu'un certificat SSL Wildcard ?
Un certificat SSL Wildcard protège votre domaine principal ainsi qu’un nombre illimité de ses sous-domaines avec une seule installation SSL. Le métacaractère (*) est utilisé dans le certificat pour identifier tout sous-domaine sous le nom de domaine spécifié, d'où son nom de Wildcard (ou Joker en français).
Il protège ainsi votre nom de domaine principal, par exemple : example.com, et tous ses sous-domaines. Par exemple : blog.example.com, shop.example.com, mail.example.com, news.example.com, etc.
Il n’est donc pas nécessaire d’acheter des certificats distincts pour chaque sous-domaine à sécuriser. Un seul certificat Wildcard suffit. Mieux encore, vous pouvez ajouter autant de sous-domaines que vous le souhaitez, à tout moment, et ré-émettre simplement votre certificat pour activer le cryptage SSL sur le nouveau sous-domaine.
Pour la configuration, lors de la génération de la CSR, vous indiquez votre domaine principal, et vous ajoutez un astérisque (*) devant votre FQDN (Fully Qualified Domain Name ou Nom de Domaine Entièrement Qualifié) pour protéger tous ses sous-domaines. Par exemple, *.example.com.
Les principales différences entre certificat SSL SAN et SSL Wildcard
Les deux types de certificats permettent de sécuriser plusieurs noms de domaine à l’aide d’un seul certificat. La principale différence entre un certificat SAN et un certificat Wildcard est le nombre de domaines et de sous-domaines qu’ils peuvent protéger.
• Les certificats SSL SAN sont également appelés certificats SSL multi-domaines et vous permettent de protéger plusieurs noms de domaine totalement différents, et même des adresses IP avec un seul et unique certificat. Ils ont été initialement conçus pour un usage sur des serveurs de messagerie où différents domaines sont à protéger, auxquels sont rattachés des boîtes e-mail, et qui sont hébergés sur une seule et même machine, d’où l’autre nom des certificats SSL SAN : Certificat SSL UCC pour "Unified Communications Certificate".
Les certificats SSL SAN coûtent moins cher que les certificats SSL Wildcard, mais ils ne permettent de protéger qu’un nombre défini et limité de domaines renseignés à la fabrication, et impliquent des frais supplémentaires pour y ajouter de nouveaux domaines ultérieurement.
Les certificats SAN peuvent être émis avec une validation étendue (Extended Validation - EV), qui garantit une identification complète de votre organisation.
• Les certificats SSL Wildcard permettent d’identifier et sécuriser un domaine et tous ses sous-domaines de second niveau (*.example.com), donc par exemple le domaine safebrands.fr, et les sous-domaines www.safebrands.fr, mail.safebrands.fr, blog.safebrands.fr, etc.
Les certificats SSL wildcard permettent de sécuriser plusieurs sites web rattachés à un domaine principal et dont la structure est construite de la manière suivante : *.domaine.fr.
Il est important de noter qu’un certificat SSL Wildcard ne pourra sécuriser qu’un seul niveau de sous-domaines (*.example.com). Par conséquent, et à titre d'exemple, le sous-domaine example.sub.domain.com ne sera pas protégé.
Les certificats SSL Wildcard sont toujours du type Domain Validation (DV) ou Organization Validation (OV). Pour des raisons de sécurité, la validation étendue (EV) n'existe pas pour les certificats Wildcard.
Il est à noter qu'il existe aussi des certificats SSL Wildcard multi-domaines : ce type de certificat combine les caractéristiques d'un certificat SSL multi-domaines et et celles d'un Wildcard pour offrir une protection SSL optimale. Il permet de protéger plusieurs domaines et tous leurs sous-domaines (de premier et de second niveau) dans le cadre d’une installation SSL unique.
En résumé, les certificats SSL SAN multi-domaines protègent plusieurs noms de domaine différents et sous-domaines définis à la fabrication sous une seule installation SSL, alors que les certificats SSL Wildcard sécurisent un seul domaine et tous ses sous-domaines en nombre illimité, que l'on peut ajouter à tout moment simplement en ré-émettant le certificat.
Combien de noms de domaine peuvent être ajoutés à un certificat SSL SAN ?
Il n’y a pas de règle : cela dépend des autorités de certification émettrices du certificat, chacune a sa politique commerciale et ses offres. Il existe par ailleurs de fortes différences de prix pour l’ajout de domaines supplémentaires, et certains certificats permettent un nombre maximal plus élevé que d’autres. Certaines autorités permettent même également de transformer un certificat standard vers un certificat de type SAN après fabrication.
Notre service commercial pourra vous accompagner dans votre choix et vous permettra de savoir quel certificat vous conviendra le mieux en fonction de votre besoin.
Pour sécuriser un domaine exemple.fr et un sous-domaine www.exemple.fr, quel certificat est le plus adapté ? Certificat Wildcard ou SAN ?
Si votre besoin est uniquement de protéger votre domaine et un sous-domaine associé, un certificat standard devrait être suffisant. La plupart des autorités de certification incluent cela dans leur offre de certificat standard. Mais attention, pas toutes ! Alors renseignez-vous bien.