单域名证书是否自动包含 www 和主域?
否。标准的单域名 SSL/TLS 证书(如 DV SSL证书)仅保护证书中 明确列出的一个完全限定域名(FQDN),不自动包含其子域或等效变体。例如,若证书主题备用名称(SAN)中仅填写 example.com,则它仅覆盖 https://example.com;www.example.com 将被浏览器视为不同域名,触发证书不匹配警告。
同理,若证书仅签发给 www.example.com,则 example.com(裸域)无法通过验证。这是因为 TLS 握手阶段的 SNI 扩展与证书中的 SAN 字段严格比对,不执行 DNS 解析、重定向或通配符推导。RFC 6125 明确要求客户端必须逐字符匹配主机名与证书中的 dNSName 条目(忽略大小写),且不隐含任何别名关系。
实际部署中,绝大多数网站需同时支持裸域和 www 子域,因此主流 CA(如 Let's Encrypt、Sectigo、Digicert 等)在签发单域名证书时,通常默认将两个域名都加入 SAN 列表——但这属于 CA 的策略性便利,而非协议强制行为。该做法并非“自动包含”,而是人工配置或申请流程中预设的双条目组合(即 SAN: example.com, www.example.com)。用户不可依赖此行为,而应检查证书详情(可通过 openssl x509 -in cert.pem -text -noout 查看 SAN 字段)确认实际覆盖范围。
所以在 SSL 证书的签发逻辑中,单域名证书(Single Domain SSL)本质上是为特定的完全限定域名(FQDN)提供加密保障。虽然从技术定义上,example.com 和 www.example.com 属于两个不同的标识,但为了降低运维复杂度,主流证书颁发机构(CA)通常会对二者进行特定形式的“捆绑”或“自动补全”。
需要注意的情况
- 部分低价或自动化签发的单域名证书(尤其某些国产 CA)可能仅写入一个域名,需手动申请添加 SAN;建议在签发前确认 CSR 或订单页是否允许多个 SAN。
- 通配符证书(如
*.example.com)可覆盖所有一级子域(含 www),但不覆盖裸域example.com;如需两者兼顾,必须显式添加裸域为额外 SAN。 - Let's Encrypt 的免费ssl证书 默认支持最多 100 个 SAN,常见 Web 面板(如 cPanel、宝塔)申请时会自动合并裸域与 www,但纯 CLI(certbot)需显式指定
-d example.com -d www.example.com。
京公网安备11010502031690号
网站经营企业工商营业执照
