Webmaster.net.pl Centrum dla Webmasterów

Certyfikaty SSL z rozszerzeniem subject alternative name (SAN) to kluczowe narzędzie nowoczesnego bezpieczeństwa w sieci. Umożliwiają ochronę wielu nazw domenowych jednym certyfikatem, co upraszcza administrację i obniża koszty. Rozwiązanie SAN zmienia podejście do SSL/TLS w środowiskach wielodomenowych, chmurowych i korporacyjnych. Niniejszy materiał wyjaśnia, czym jest SAN, jak działa, gdzie się sprawdza oraz jak wdrożyć go bezpiecznie i efektywnie.

Treść (pokaż)

Techniczne fundamenty i definicja subject alternative name

Subject Alternative Name to rozszerzenie certyfikatu X.509, które przezwycięża ograniczenie pojedynczego Common Name (CN), pozwalając zabezpieczyć wiele nazw jednym certyfikatem. CA/Browser Forum wymaga dziś, by nazwa z CN była powielona w polu SAN, co de facto czyni SAN polem wymaganym w nowoczesnych certyfikatach SSL/TLS.

Architektura rozszerzeń X.509 v3 umożliwia dodanie listy alternatywnych nazw w polu subjectAltName. Każda nazwa w SAN jest traktowana równorzędnie przez przeglądarki i serwery, otrzymując ten sam poziom szyfrowania i walidacji. W ofertach komercyjnych limity liczby wpisów mieszczą się zwykle w zakresie 100–250 pozycji.

Do pola SAN można dodać następujące typy identyfikatorów:

  • w pełni kwalifikowane nazwy domen (FQDN),
  • adresy IP (IPv4 oraz IPv6),
  • nazwy hostów zgodne z konwencją DNS,
  • inne identyfikatory wspierane przez specyfikację X.509.

Mechanizm działania i walidacja certyfikatów SAN

Podczas połączenia HTTPS przeglądarka sprawdza zgodność certyfikatu z żądaną nazwą i jego wiarygodność. Procedura walidacji obejmuje dopasowanie nazwy do pola SAN, weryfikację podpisu CA, sprawdzenie okresu ważności oraz statusu odwołania.

Aby ułatwić zrozumienie, oto główne etapy weryfikacji nazwy i negocjacji TLS:

  • klient wysyła Client Hello z listą obsługiwanych wersji protokołu i szyfrów,
  • jeśli obsługiwane jest Server Name Indication (SNI), klient przesyła nazwę hosta,
  • serwer zwraca właściwy certyfikat (na podstawie SNI) z listą nazw w SAN,
  • przeglądarka dopasowuje żądaną nazwę głównie do listy SAN (dla kompatybilności nadal wspiera CN),
  • następuje wymiana kluczy i ustanowienie szyfrowanego kanału.

Porównanie SAN z innymi typami certyfikatów wielodomenowych

Certyfikat Wildcard chroni domenę główną i wszystkie jej subdomeny (np. *.example.com). Certyfikat SAN (UCC) może obejmować wiele niezależnych domen (np. example.com, different-domain.net, another-site.org) w ramach jednego certyfikatu. Poniższe zestawienie ułatwia wybór rozwiązania do konkretnego zastosowania:

Cecha SAN Wildcard
Zakres ochrony wiele niezależnych domen i subdomen domena główna i nieograniczone subdomeny jednej domeny
Elastyczność bardzo wysoka (dowolne domeny) wysoka w obrębie jednej domeny
Dostępność poziomów DV/OV/EV DV, OV, EV zwykle DV/OV, rzadziej EV
Ryzyko przy kompromitacji klucza wpływ na wszystkie domeny w SAN wpływ na wszystkie subdomeny danej domeny
Typowe zastosowanie portfele wielodomenowe, SaaS, środowiska korporacyjne wiele subdomen jednej marki/produktu
Skalowanie do ok. 100–250 wpisów (zależnie od CA) nielimitowane subdomeny w obrębie jednej domeny

W praktyce możliwe są konfiguracje hybrydowe, np. multi‑domain wildcard (wpisy *.example.com i *.different-domain.net plus konkretne FQDN w jednym SAN).

Praktyczne zastosowania i scenariusze biznesowe

Certyfikaty SAN są szczególnie przydatne w środowiskach wielodomenowych i wieloregionalnych. Oto typowe sytuacje, w których SAN znacząco upraszcza pracę:

  • sklepy e‑commerce działające na wielu rynkach (np. shop.pl, shop.de, shop.fr, shop.uk),
  • platformy SaaS z dedykowanymi domenami dla klientów,
  • architektury chmurowe i mikroserwisy z wieloma punktami dostępu (api, portal, admin, backup),
  • infrastruktury korporacyjne wymagające spójnego SSL na wielu bramach, proxy i load balancerach.

W ekosystemie Microsoft (np. Exchange Server) te same certyfikaty UCC/SAN mogą chronić wiele usług bez komunikatów o niezgodności. Przykładowe nazwy hostów konfigurowane w jednym SAN:

  • mail.example.com,
  • imap.example.com,
  • pop3.example.com,
  • smtp.example.com,
  • autodiscover.example.com.

Przepis wdrażania certyfikatu SAN – procedury i wymagania

Skuteczne wdrożenie SAN wymaga przemyślanego procesu. Najważniejsze kroki wyglądają następująco:

  • inwentaryzacja domen i subdomen oraz wybór poziomu walidacji DV/OV/EV,
  • wybór zaufanego CA i porównanie oferty (limity SAN, koszt dodatkowych wpisów, stawki odnowienia, gwarancja),
  • wygenerowanie CSR z kompletną listą SAN (np. przy użyciu OpenSSL),
  • walidacja każdej domeny zgodnie z wymogami CA,
  • instalacja certyfikatu i łańcucha pośredniego na serwerze WWW (Apache, Nginx, IIS),
  • testy poprawności, łańcucha zaufania i zgodności nazw (np. SSL Labs Server Test).

Najczęściej stosowane metody potwierdzania kontroli nad domeną są następujące:

  • wiadomość e‑mail na adres administratora domeny,
  • rekord TXT w DNS,
  • umieszczenie pliku na serwerze HTTP/HTTPS.

Aby uniknąć błędów, warto jawnie zadeklarować wpisy SAN w pliku konfiguracyjnym. Przykładowy fragment konfiguracji OpenSSL z sekcją subjectAltName:


[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[ req_distinguished_name ]
C = PL
ST = Mazowieckie
L = Warszawa
O = Example Sp. z o.o.
OU = IT
CN = example.com

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.3 = mail.example.com
DNS.4 = api.example.com

Typy walidacji i poziomy zaufania w certyfikatach SAN

Certyfikaty SAN są dostępne we wszystkich standardowych poziomach zaufania. Kluczowe różnice podsumowuje lista:

  • Domain Validation (DV) – podstawowa weryfikacja kontroli nad domeną; dobra dla blogów, stron informacyjnych i prostych serwisów;
  • Organization Validation (OV) – weryfikacja tożsamości i adresu organizacji w rejestrach publicznych; rekomendowane dla firm oraz instytucji publicznych i edukacyjnych;
  • Extended Validation (EV) – najbardziej rygorystyczna weryfikacja zgodna z CA/Browser Forum; zalecana dla finansów, płatności i serwisów przetwarzających wrażliwe dane.

W jednym certyfikacie SAN wszystkie nazwy dziedziczą ten sam poziom walidacji (np. EV dla wszystkich pozycji w polu SAN).

Zarządzanie cyklem życia certyfikatu SAN

Proaktywne zarządzanie cyklem życia minimalizuje ryzyko przestoju i błędów konfiguracyjnych. Większość CA wysyła automatyczne przypomnienia (np. 60, 30, 7 i 1 dzień przed wygaśnięciem).

Przed odnowieniem wykonaj audyt listy SAN i infrastruktury. Po wydaniu nowego certyfikatu wdroż go niezwłocznie na wszystkich właściwych serwerach i usługach.

Warto używać monitoringu i alertów oraz prowadzić szczegółową dokumentację: chronione domeny, serwery, parametry walidacji, daty ważności, historia zmian.

Aspekty bezpieczeństwa i najlepsze praktyki implementacji

Bezpieczeństwo klucza prywatnego jest absolutnie krytyczne. Zalecane są nowoczesne parametry kryptograficzne (co najmniej RSA 2048 lub równoważne ECC), ograniczony dostęp i szyfrowane przechowywanie. W przypadku podejrzenia kompromitacji natychmiast unieważnij certyfikat, wystaw nowy i wdroż go wszędzie.

Dodatkowe mechanizmy wzmacniające wdrożenie:

  • OCSP stapling – szybsza i bardziej niezawodna weryfikacja statusu certyfikatu,
  • HTTP Strict Transport Security (HSTS) – wymuszenie HTTPS i redukcja ryzyka ataków MITM/downgrade,
  • HSM – sprzętowe moduły bezpieczeństwa do bezpiecznego przechowywania kluczy.

Najczęstsze błędy, których należy unikać:

  • niekompletne listy domen w CSR lub pomyłki w nazwach,
  • łączenie środowisk produkcyjnych i deweloperskich w jednym certyfikacie,
  • brak monitoringu dat wygaśnięcia i łańcucha zaufania,
  • niewystarczająca dokumentacja konfiguracji i zmian.

Ograniczenia i zastrzeżenia certyfikatów SAN

Przed wyborem SAN rozważ poniższe ograniczenia:

  • limity liczby wpisów (zwykle 100–250; wyższe progi często za dopłatą),
  • część CA nie akceptuje wildcardów w polu SAN (możliwa potrzeba łączenia SAN i wildcard),
  • konieczność jawnego definiowania wszystkich nazw (nowe subdomeny nie są dodawane automatycznie),
  • wzrost złożoności zarządzania i ryzyka błędów przy dużej liczbie wpisów.

Kompromitacja klucza w certyfikacie SAN wpływa na wszystkie domeny w nim ujęte, dlatego w krytycznych środowiskach warto stosować HSM i segmentację certyfikatów.

Porównanie kosztów i analizy zwrotu inwestycji

Certyfikaty SAN zwykle przynoszą istotne oszczędności przy większej skali. Koszt certyfikatu SAN dla 3–4 domen to najczęściej kilkadziesiąt–kilkaset USD/rok (zależnie od poziomu DV/OV/EV), a dodatkowe wpisy SAN kosztują zwykle kilka–kilkanaście USD za pozycję.

Przykładowe porównanie całkowitego kosztu dla 50 domen wygląda następująco:

Scenariusz Liczba domen Średni koszt jednostkowy Szacunkowy koszt roczny
Oddzielne certyfikaty jednodomenowe 50 10–20 USD 500–1000 USD
Jeden certyfikat SAN 50 150–300 USD

Oszczędności rzędu 60–70% to częsty wynik, a dodatkowo maleją koszty administracyjne i ryzyko przestojów spowodowanych wygaśnięciem certyfikatów.

Wdrażanie server name indication (SNI) wraz z certyfikatami SAN

Wdrożenie Server Name Indication (SNI) maksymalizuje korzyści z certyfikatów SAN, pozwalając serwerowi zwrócić właściwy certyfikat na współdzielonym adresie IP. SNI eliminuje konieczność posiadania oddzielnych adresów IP dla każdej domeny.

Dzisiejsze przeglądarki, systemy i serwery WWW szeroko wspierają SNI, lecz sporadycznie trafiają się klienci bez tej funkcji. W takich przypadkach pomocny bywa domyślny certyfikat jednodomenowy dla ruchu legacy.

Wnioski i rekomendacje praktyczne

Certyfikaty SAN upraszczają zarządzanie wieloma domenami i obniżają koszty względem modelu opartego na wielu odrębnych certyfikatach. Dla portfeli wielodomenowych, platform SaaS, architektur mikroserwisowych i serwerów pocztowych to często najlepszy wybór.

Wybierając między SAN a wildcard, oceń strukturę domen, tempo przyrostu subdomen, wymagany poziom zaufania oraz preferencję: jawne definiowanie nazw vs. symbol wieloznaczny. Wildcard będzie prostszy dla wielu subdomen jednej domeny, natomiast SAN jest niezastąpiony dla wielu niezależnych domen.

Skuteczne wdrożenie opiera się na strategii lifecycle: regularnych audytach nazw, monitoringu wygaśnięć, automatyzacji odnowień i rzetelnej dokumentacji. Inwestycja w automatyzację i monitoring certyfikatów najczęściej zwraca się w ciągu kilku miesięcy.