单域名证书是否自动包含 www 和主域？

单域名证书是否自动包含 www 和主域？

否。标准的单域名 SSL/TLS 证书（如 DV SSL证书）仅保护证书中 明确列出的一个完全限定域名（FQDN），不自动包含其子域或等效变体。例如，若证书主题备用名称（SAN）中仅填写 example.com，则它仅覆盖 https://example.com；www.example.com 将被浏览器视为不同域名，触发证书不匹配警告。

同理，若证书仅签发给 www.example.com，则 example.com（裸域）无法通过验证。这是因为 TLS 握手阶段的 SNI 扩展与证书中的 SAN 字段严格比对，不执行 DNS 解析、重定向或通配符推导。RFC 6125 明确要求客户端必须逐字符匹配主机名与证书中的 dNSName 条目（忽略大小写），且不隐含任何别名关系。

实际部署中，绝大多数网站需同时支持裸域和 www 子域，因此主流 CA（如 Let's Encrypt、Sectigo、Digicert 等）在签发单域名证书时，通常默认将两个域名都加入 SAN 列表——但这属于 CA 的策略性便利，而非协议强制行为。该做法并非“自动包含”，而是人工配置或申请流程中预设的双条目组合（即 SAN: example.com, www.example.com）。用户不可依赖此行为，而应检查证书详情（可通过 openssl x509 -in cert.pem -text -noout 查看 SAN 字段）确认实际覆盖范围。

所以在 SSL 证书的签发逻辑中，单域名证书（Single Domain SSL）本质上是为特定的完全限定域名（FQDN）提供加密保障。虽然从技术定义上，example.com 和 www.example.com 属于两个不同的标识，但为了降低运维复杂度，主流证书颁发机构（CA）通常会对二者进行特定形式的“捆绑”或“自动补全”。

需要注意的情况

• 部分低价或自动化签发的单域名证书（尤其某些国产 CA）可能仅写入一个域名，需手动申请添加 SAN；建议在签发前确认 CSR 或订单页是否允许多个 SAN。
• 通配符证书（如 *.example.com）可覆盖所有一级子域（含 www），但不覆盖裸域 example.com；如需两者兼顾，必须显式添加裸域为额外 SAN。
• Let's Encrypt 的免费ssl证书 默认支持最多 100 个 SAN，常见 Web 面板（如 cPanel、宝塔）申请时会自动合并裸域与 www，但纯 CLI（certbot）需显式指定 -d example.com -d www.example.com。