多域名SSL与通配符SSL有什么区别?
多域名SSL证书(SAN证书)和通配符SSL证书都用于覆盖多个域名场景,但技术实现、适用结构与运维逻辑完全不同。从CA/B Forum Baseline Requirements合规角度出发,二者在证书扩展字段(Subject Alternative Name)、域名匹配规则、吊销粒度及浏览器验证行为上存在本质差异。生产环境中选错类型将直接导致子域名无法建立HTTPS安全连接。
技术背景与适用边界
证书设计目标不同
多域名SSL证书核心是“显式枚举”——每个受保护域名必须在CSR生成阶段明确列出,由CA写入证书的Subject Alternative Name(SAN)扩展字段。而通配符SSL证书依赖RFC 6125定义的通配符匹配机制,仅支持单级子域名(如*.example.com可匹配www.example.com,但不匹配dev.www.example.com)。这是TLS协议层硬性限制,与CA无关。
浏览器信任链验证机制差异
当用户访问api.example.com时:若使用多域名证书,浏览器检查该域名是否存在于证书SAN列表中;若使用通配符证书,则执行通配符模式匹配,并验证通配符位置是否符合规范(仅允许出现在最左侧标签)。Chrome 128+已强化通配符校验逻辑,对www.*.example.com类非法格式直接拒绝握手。实际部署中曾发现某金融客户因误用*.prod.api.example.com导致iOS Safari全量报错NET::ERR_CERT_COMMON_NAME_INVALID。
核心技术机制对比
| 维度 | 多域名SSL证书 | 通配符SSL证书 |
|---|---|---|
| 覆盖能力 | 最多支持250个完全独立域名(如topssl.cn、blog.topssl.cn、shop.net) |
仅保护一个主域名下的所有一级子域名(如*.topssl.cn → www.topssl.cn、mail.topssl.cn) |
| 域名灵活性 | 支持跨根域(.com与.cn混用)、二级域(admin.example.net)、甚至IP地址(需CA特殊授权) |
严格限定为同一注册域下的一级子域;不支持跨域、不支持二级子域(*.dev.example.com≠test.dev.example.com) |
| 证书更新影响 | 新增域名需重新签发整张证书,旧证书立即失效;部分CA提供免费重签服务(如Sectigo) | 新增子域名无需重签,只要DNS解析生效即可自动受保护;但主域名变更(如从example.com改为newexample.com)必须换证 |
工程部署经验
真实运维陷阱
某电商客户曾采购一张*.shop.example.com通配符证书,用于支撑mobile.shop.example.com和pc.shop.example.com,但上线后Android WebView持续报错SSL_ERROR_BAD_CERT_DOMAIN。排查发现其App内嵌WebView基于旧版BoringSSL,不支持通配符多级匹配。最终改用多域名证书显式声明两个域名,问题解决。这印证了通配符证书在混合终端环境中的兼容风险。
成本与管理权衡
通配符证书单价通常为同等级多域名证书的1.5–2倍,但长期运维成本更低:无需跟踪子域名增减、无重签等待期、避免因漏加域名导致HTTPS降级。我们建议——若子域名结构稳定且全部归属同一主域,优先选通配符;若涉及收购新品牌、多业务线独立域名或需保护裸域(example.com)与带www域名(www.example.com),则多域名证书更可靠。注意:多域名SSL证书默认包含裸域与www双版本,而通配符SSL证书需单独申请裸域保护(通过额外SAN条目)。
常见问题
Q:通配符SSL证书能保护www.example.com和example.com吗?
A:不能自动保护。通配符*.example.com仅匹配子域名,不匹配裸域。必须在证书中额外添加example.com作为SAN条目,或另购单域名证书。
Q:多域名SSL证书最多能加多少个域名?
A:主流CA(如Digicert、Sectigo)上限为250个,但超过100个时建议拆分为多张证书——避免单点故障导致全站HTTPS中断。
Q:能否将通配符和多域名特性结合?
A:可以,即多域名通配符SSL证书,例如同时包含*.api.example.com、*.cdn.example.net、shop.example.org三个条目。但此类证书需人工审核,签发周期延长2–3工作日。
京公网安备11010502031690号
网站经营企业工商营业执照
