多域名 SSL 与通配符 SSL 有什么区别

多域名 SSL 与通配符 SSL 有什么区别

多域名 SSL（Subject Alternative Name, SAN）与通配符 SSL（Wildcard SSL）是两种不同证书类型，核心区别在于覆盖域名的逻辑结构和扩展方式：多域名 SSL 显式列出多个独立域名（如 example.com、www.example.com、api.another.org），每个域名需在签发时明确声明；通配符 SSL 则通过单个通配符（*.example.com）覆盖同一主域下的**所有一级子域名**，但不覆盖根域本身（除非显式包含）或跨域二级子域（如 *.sub.example.com 需单独申请）。

技术实现上，多域名 SSL 依赖 subjectAltName 扩展字段承载多个 DNS 名称，浏览器按逐条匹配验证；通配符 SSL 的匹配遵循 RFC 6125 §6.4.3 规则：通配符仅匹配单段标签（即一个 . 分隔的左侧部分），且不匹配空段或点号本身。例如 *.example.com 可匹配 mail.example.com 和 shop.example.com，但不匹配 example.com（无子域）、www.mail.example.com（二级子域）或 example.net（不同根域）。

在实际部署中，多域名 SSL 更适合管理分散的业务域名（如 SaaS 平台托管多个客户站点），便于集中续期与统一吊销；通配符 SSL 更适合快速迭代的子域名场景（如微服务、测试环境、CDN 回源），但存在安全边际——私钥一旦泄露，所有子域名均面临中间人风险。现代 CA（如 Sectigo、Digicert）普遍支持将通配符与 SAN 结合（如 *.example.com + example.com + admin.example.net），以兼顾灵活性与覆盖完整性。

需要注意的情况

• 通配符不继承至二级及以上子域：若需 *.dev.example.com，必须单独申请，不能由 *.example.com 覆盖
• 多域名 SSL 的 SAN 数量受 CA 限制（如 Let's Encrypt 最多 100 个，多数商业 CA 默认 100–250 个），超出需升级或拆分
• EV SSL证书 不支持通配符（CA/Browser Forum Baseline Requirements §7.1.4.2.2），仅 DV SSL证书 和 OV SSL证书 支持
• 国密SSL证书（SM2）目前主流厂商（如 华测国密CA）已支持通配符与多域名混合模式，但需确认客户端 SM2 根证书预置情况