Subject Alternative Name (SAN) 字段明确定义,其中必须包含一个或多个合法注册域名(FQDN),如 www.example.com 或 api.example.org。CA/B Forum Baseline Requirements 明确要求:自2015年7月起,所有公开信任的 SSL/TLS 证书必须通过 SAN 字段声明域名,而不再依赖已弃用的 Common Name (CN) 字段进行域名匹配。因此,证书是否“有效”取决于其 SAN 列表是否覆盖客户端请求的 Hostname,而非是否存在某个泛称的“域名证书”类型。SSL证书并非按“是否含域名”分类,而是按标识范围与验证强度划分。例如:单域名SSL证书 仅覆盖一个精确域名(不含子域),多域名SSL证书 可在单张证书中声明最多100个独立域名,通配符证书 则支持一级子域通配(如 *.example.com),但不覆盖跨级域名(如 sub.api.example.com)或父域(example.com)——后者需显式列入 SAN。
浏览器和 TLS 栈在握手阶段执行严格的主机名验证:提取证书 SAN 中的 DNS 名条目,逐一对比请求 Host 头(或 SNI 扩展值),区分大小写、不支持通配符嵌套、拒绝空标签与国际化域名(IDN)混淆字符。任何不匹配都将触发 NET::ERR_CERT_COMMON_NAME_INVALID 或类似错误,与证书是否“属于域名”无关,只与其 SAN 声明是否精确覆盖当前访问目标有关。
证书的信任锚点始终是根 CA 的公钥,而非域名本身;域名只是终端实体身份的可验证属性。同一张证书可被部署于不同 IP 或 CDN 节点,只要其 SAN 包含对应域名且私钥未泄露,即满足 TLS 协议与浏览器信任模型的双重要求。
该结论适用于所有符合 RFC 5280 和 CA/B Forum BR 的公开信任证书,包括 DV、OV、EV 及国密证书等类型。
example.com;单域名证书默认不自动包含裸域。Q:通配符证书 *.example.com 是否覆盖 example.com?
A:不覆盖,RFC 6125 明确规定通配符仅匹配单级子域,裸域必须单独声明。
Q:能否用一张证书同时保护 example.com 和 shop.example.net?
A:可以,但需选择多域名SSL证书,并在申请时将两个域名均填入 SAN 字段。
加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
