Un certificado SSL multi-dominio (también llamado SAN o UCC) asegura múltiples nombres de dominio diferentes con un solo certificado. En lugar de gestionar certificados separados para example.com, example.org y myapp.io, un solo certificado SAN los cubre todos.
Esto es diferente de un certificado comodín, que cubre subdominios de un dominio. Un certificado SAN puede cubrir dominios completamente diferentes.
Cómo funcionan los certificados SAN
SAN significa Subject Alternative Name — un campo en el estándar de certificados X.509 que lista nombres de dominio adicionales para los que el certificado es válido. Cuando tu navegador se conecta a un servidor, verifica si el dominio solicitado coincide con alguna entrada SAN.
Así se ve internamente un certificado multi-dominio:
Certificate for:
CN: example.com
SAN: example.com
SAN: www.example.com
SAN: example.org
SAN: api.myapp.ioLos cuatro dominios están asegurados por un solo certificado con una sola clave privada. El navegador acepta la conexión si el nombre de host solicitado coincide con cualquier entrada SAN.
Límites: Let’s Encrypt soporta hasta 100 entradas SAN por certificado. Las CAs comerciales varían — algunas permiten 250+, algunas cobran por entrada.
Casos de uso comunes
Múltiples dominios de marca
Operas brandname.com, brandname.co.uk y brandname.de. Un certificado SAN cubre los tres sin gestionar certificados separados por región.
Variantes dominio + www
El uso SAN más común: example.com + www.example.com. La mayoría de los certificados incluyen ambos automáticamente. GetHTTPS te sugiere añadir la variante www cuando ingresas un dominio base.
Microservicios en diferentes dominios
Tu API vive en api.company.com, tu documentación en docs.company.com y tu sitio de marketing en company.com. Un certificado SAN asegura los tres. Si todos son subdominios, un comodín podría ser más simple.
Migración entre dominios
¿Migrando de olddomain.com a newdomain.com? Un certificado SAN que cubra ambos te permite servir HTTPS en ambos dominios durante la transición sin mantener dos certificados separados.
SAN vs Comodín
| SAN (multi-dominio) | Comodín | |
|---|---|---|
| Cubre | Dominios listados específicamente | Todos los subdominios de un dominio |
| Entre dominios | example.com + other.com | Solo un dominio base |
| Nuevos dominios | Requiere nuevo certificado | Nuevos subdominios cubiertos automáticamente |
| Tipo de desafío | HTTP-01 o DNS-01 | Solo DNS-01 |
| Tamaño del certificado | Crece con cada entrada SAN | Fijo |
| Caso de uso | Múltiples dominios distintos | Muchos subdominios de un dominio |
| Límite de Let’s Encrypt | 100 nombres por certificado | 1 comodín por certificado (combinar con SAN) |
Puedes combinar ambos: Un solo certificado puede incluir example.com, *.example.com y other.com como entradas SAN. Esto es común para cubrir el dominio base, todos los subdominios y dominios adicionales en un solo certificado.
Obtener un certificado multi-dominio con GetHTTPS
- Ve a gethttps.com/app/setup
- Ingresa todos los dominios que quieres cubrir:
example.com,www.example.com,example.org - Completa un desafío para cada dominio — HTTP-01 (colocar un archivo) o DNS-01 (añadir un registro TXT)
- GetHTTPS pre-verifica cada desafío antes de enviar a Let’s Encrypt
- Descarga un certificado que cubre todos los dominios
Cada dominio necesita su propia validación porque Let’s Encrypt debe verificar que controlas cada uno independientemente. GetHTTPS los maneja secuencialmente — verificas uno, luego el siguiente.
Ejemplo: 3 dominios, desafíos mixtos
| Dominio | Tipo de desafío | Qué haces |
|---|---|---|
example.com | HTTP-01 | Colocar un archivo en el servidor |
www.example.com | HTTP-01 | Mismo servidor, mismo proceso |
example.org | DNS-01 | Añadir un registro TXT (proveedor DNS diferente) |
Después de que los tres pasen, obtienes un conjunto de archivos de certificado (fullchain.pem, privkey.pem) que cubre los tres.
Instalar un certificado multi-dominio
La instalación es idéntica a la de un certificado de dominio único. Al servidor no le importa cuántos SANs tiene el certificado — usa los mismos archivos.
Nginx:
server {
listen 443 ssl http2;
server_name example.com www.example.com example.org;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com example.org
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>Si los dominios apuntan a servidores diferentes, instala los mismos archivos de certificado en cada servidor. El certificado es válido para todos los dominios listados independientemente de qué servidor lo presente.
Preguntas frecuentes
¿Un certificado SAN es más caro?
No con Let’s Encrypt. Puedes incluir hasta 100 dominios en un solo certificado gratuito vía GetHTTPS. Algunas CAs comerciales cobran $10-50 por cada entrada SAN adicional.
¿Todos los dominios necesitan estar en el mismo servidor?
No. El certificado funciona en cualquier servidor. Instala los mismos fullchain.pem y privkey.pem en cada servidor que necesite servir cualquiera de los dominios listados.
¿Puedo añadir un dominio a un certificado SAN existente?
No directamente — no puedes modificar un certificado ya emitido. Necesitas solicitar un nuevo certificado que incluya todos los dominios (existentes + nuevos). Con GetHTTPS, esto toma unos minutos.
¿Cuándo debo usar certificados separados en su lugar?
Usa certificados separados cuando:
- Diferentes equipos gestionan diferentes dominios (claves separadas = control de acceso separado)
- Se necesitan diferentes calendarios de renovación
- El aislamiento importa — comprometer una clave no debería afectar otros dominios
- Excedes los 100 nombres — divide entre múltiples certificados
¿Cómo afecta SAN al tamaño del certificado?
Cada entrada SAN añade ~30-50 bytes al certificado. Con 100 entradas, el certificado es unos pocos KB más grande. Esto tiene un impacto insignificante en la velocidad de la negociación TLS.
¿Cuál es la diferencia entre SAN y UCC?
UCC (Unified Communications Certificate) es el nombre de Microsoft para los certificados SAN multi-dominio, originalmente diseñados para Exchange y Office Communications Server. Técnicamente son lo mismo — un certificado con múltiples entradas SAN.