O que é um certificado multidomínio (SAN)?
Quando você solicita ou emite um novo certificado TLS/SSL, existe um campo Subject Alternative Name (Nome alternativo do sujeito) que permite especificar outros nomes de host (como sites, endereços IP, nomes comuns, etc.) a serem protegidos por um único certificado TLS/SSL, como um certificado multidomínio (SAN) ou multidomínio Extended Validation.
A extensão Subject Alternative Name (Nome alternativo do sujeito) era parte do padrão de certificado X509 antes de 1999, mas apenas com o lançamento do Microsoft Exchange Server 2007 ela passou a ser usada regularmente. Essa foi uma mudança útil, pois simplificou as configurações de servidor. Agora, os Nomes alternativos do sujeito são amplamente usados para ambientes ou plataformas que precisam proteger vários nomes de sites em diferentes domínios ou subdomínios.
Para que são usados os Nomes alternativos do sujeito (SANs)?
Existem três formas principais de usar Nomes alternativos do sujeito (SAN):
- Nomes de host seguros em diferentes domínios de base a partir de um único certificado TLS/SSL: Um certificado Wildcard pode proteger todos os subdomínios de primeiro nível de um domínio inteiro, como *.example.com. Entretanto, um certificado Wildcard não pode proteger www.example.com e www.example.net.
- Vários sites TLS/SSL de host virtual em um único endereço IP: Hospedar vários sites habilitados para TLS/SSL em um único servidor normalmente requer um endereço IP exclusivo por site, mas um certificado multidomínio (SAN) com Nomes alternativos do sujeito pode resolver este problema. O Microsoft IIS e o Apache podem hospedar sites HTTPS usando certificados multidomínio (SAN).
- Simplifique ao máximo a configuração de TLS/SSL de seu servidor: Usar um certificado multidomínio (SAN) evita a complexidade e a demora envolvidos na configuração de vários endereços IP em seu servidor, vinculando cada endereço IP a um certificado diferente e tentando unir todos eles.
Onde é possível ver os Nomes alternativos do sujeito em ação?
Para ver um exemplo de Nomes alternativos do sujeito, na barra de endereço dessa página, clique no cadeado do navegador para verificar nosso certificado TLS/SSL. Nos detalhes do certificado, você vê uma extensão Subject Alternative Name (Nome alternativo do sujeito) que lista e digicert.com, além de alguns SANs adicionais protegidos por nosso certificado. Como o nome digicert.com está listado em nosso certificado, seu navegador não emitirá um aviso se você visitar nosso site em https://digicert.com sem ver 'www' no nome.
Como os navegadores usam o campo de Nome alternativo do sujeito em seu certificado TLS/SSL?
Quando os navegadores se conectam com seu servidor usando HTTPS, eles verificam se seu certificado TLS/SSL corresponde ao nome do host na barra de endereço.
Existem três maneiras de um navegador encontrar uma correspondência:
- O nome do host (na barra de endereço) corresponde exatamente ao nome comum do sujeito do certificado.
- O nome do host corresponde a um nome comum Wildcard. Por exemplo, www.example.com corresponde ao nome comum *.example.com.
- O nome do host está listado no campo Subject Alternative Name (Nome alternativo do sujeito).
A forma mais comum de correspondência de nomes TLS/SSL é o cliente TLS/SSL comparar o nome do servidor ao qual está conectado com o nome comum do certificado do servidor. É seguro dizer que todos os clientes TLS terão suporte para a correspondência exata de nomes comuns.
Se um certificado TLS tiver um campo Subject Alternative Name (SAN), os clientes TLS deverão ignorar o valor de nome comum e buscar uma correspondência na lista de SANs. É por isso que a TV sempre repete o nome comum como o primeiro SAN em nossos certificados.
Quais clientes TLS/SSL têm suporte para Nomes alternativos do sujeito?
A maioria dos dispositivos móveis tem suporte para Nomes alternativos do sujeito e também para certificados Wildcard, e todos têm suporte para a correspondência exata de Nome comum.
Internet Explorer, Firefox, Opera, Safari e Netscape: Todos têm suporte para Nomes alternativos do sujeito desde 2003. O Internet Explorer tem suporte desde o Windows 98.
Micrsoft Edge: O mais novo navegador da Microsoft tem suporte para Nomes alternativos do sujeito.
Windows Phone: Tem suporte para correspondência de Nomes alternativos do sujeito e Wildcard.
Palm Treo mais recente: Esses dispositivos usam WM5, mas os mais antigos executam PalmOS e usam VersaMail para ActiveSync. Os Treos mais antigos não têm suporte para a correspondência de Nomes alternativos do sujeito.
Smartphones mais novos com Symbian OS: O Symbian OS tem suporte para Nomes alternativos do sujeito a partir da versão 9.2 e posterior.
Smartphones mais antigos com Symbian OS: O Symbian OS 9.1 e anterior não tem suporte para a correspondência de Nomes alternativos do sujeito. Isso parece ter sido resolvido no Symbian OS 9.2 (S60 3rd Edition, Feature Pack 1).
Palm Treo mais antigo: Esses dispositivos executam PalmOS e usam VersaMail para ActiveSync. Esses Treos mais antigos não têm suporte para a correspondência de Nomes alternativos do sujeito.
Como nem todos os dispositivos móveis têm suporte para o campo Subject Alternative Name, é mais seguro definir seu nome comum com o nome que a maioria dos dispositivos móveis usará.