SAN(Subject Alternative Name)证书与所谓“普通证书”(通常指仅包含单个域名的单域名证书)的核心区别在于:SAN 证书在 X.509 证书的 subjectAltName 扩展字段中可声明多个域名(DNS 名称),而传统单域名证书的 subject CN(Common Name)字段仅能匹配一个主机名,且现代浏览器已完全忽略 CN 字段用于域名验证(RFC 6125、Chrome/Firefox 自 2017 年起强制要求校验 SAN)。
这意味着:若证书未在 SAN 字段中列出 www.example.com 和 example.com,即使 CN 设为后者,访问前者仍会触发浏览器「NET::ERR_CERT_COMMON_NAME_INVALID」错误。所有主流 CA(如 Digicert、Sectigo、Lets Encrypt)签发的 DV SSL证书、OV SSL证书 均默认要求并填充 SAN 字段;实际已不存在“不带 SAN 的可用证书”——所谓“普通证书”只是 SAN 条目数为 1 的特例。
技术上,SAN 还支持非 DNS 类型条目,如 IP 地址(需 CA 显式授权)、URI、Email 等,但 Web TLS 场景下仅 DNS 类型生效。证书中 SAN 条目数量受 CA 策略限制(例如免费ssl证书 通常允许 1–100 个域名,商业 OV SSL证书 可达 200+)。
*.example.com)本身属于 SAN 中的一个 DNS 条目,不额外占用“多域名”配额,但无法覆盖不同二级域(如 api.another.com)加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
