Un certificat SSL multi-domaines (également appelé certificat SAN ou UCC) sécurise plusieurs noms de domaine différents avec un seul certificat. Au lieu de gérer des certificats séparés pour example.com, example.org et myapp.io, un seul certificat SAN couvre tous ces domaines.
Cela diffère d’un certificat wildcard, qui couvre les sous-domaines d’un seul domaine. Un certificat SAN peut couvrir des domaines entièrement différents.
Comment fonctionnent les certificats SAN
SAN signifie Subject Alternative Name — un champ dans le standard de certificat X.509 qui liste les noms de domaine supplémentaires pour lesquels le certificat est valide. Lorsque votre navigateur se connecte à un serveur, il vérifie si le domaine demandé correspond à une entrée SAN.
Voici à quoi ressemble un certificat multi-domaines en interne :
Certificate for:
CN: example.com
SAN: example.com
SAN: www.example.com
SAN: example.org
SAN: api.myapp.io
Les quatre domaines sont sécurisés par un seul certificat avec une seule clé privée. Le navigateur accepte la connexion si le nom d’hôte demandé correspond à une entrée SAN.
Limites : Let’s Encrypt prend en charge jusqu’à 100 entrées SAN par certificat. Les CA commerciales varient — certaines autorisent 250+, d’autres facturent par entrée.
Cas d’utilisation courants
Plusieurs domaines de marque
Vous gérez brandname.com, brandname.co.uk et brandname.de. Un seul certificat SAN couvre les trois sans gérer de certificats séparés par région.
Domaine + variantes www
Le cas d’utilisation SAN le plus courant : example.com + www.example.com. La plupart des certificats incluent automatiquement les deux. GetHTTPS vous invite à ajouter la variante www lorsque vous entrez un domaine nu.
Microservices sur différents domaines
Votre API est sur api.company.com, votre documentation sur docs.company.com et votre site marketing sur company.com. Un certificat SAN sécurise les trois. Si ce sont tous des sous-domaines, un wildcard pourrait être plus simple.
Migration entre domaines
Vous passez de olddomain.com à newdomain.com ? Un certificat SAN couvrant les deux vous permet de servir HTTPS sur les deux domaines pendant la transition sans maintenir deux certificats séparés.
SAN vs Wildcard
| SAN (multi-domaines) | Wildcard | |
|---|---|---|
| Couvre | Des domaines spécifiques listés | Tous les sous-domaines d’un domaine |
| Inter-domaines | ✅ example.com + other.com | ❌ Un seul domaine de base |
| Nouveaux domaines | Nécessite un nouveau certificat | Nouveaux sous-domaines couverts automatiquement |
| Type de challenge | HTTP-01 ou DNS-01 | DNS-01 uniquement |
| Taille du certificat | Augmente avec chaque entrée SAN | Fixe |
| Cas d’utilisation | Plusieurs domaines distincts | Nombreux sous-domaines d’un domaine |
| Limite Let’s Encrypt | 100 noms par certificat | 1 wildcard par certificat (combinable avec SAN) |
Vous pouvez combiner les deux : Un seul certificat peut inclure example.com, *.example.com et other.com comme entrées SAN. C’est courant pour couvrir le domaine nu, tous les sous-domaines et des domaines supplémentaires dans un seul certificat.
Obtenir un certificat multi-domaines avec GetHTTPS
- Rendez-vous sur gethttps.com/app/setup
- Entrez tous les domaines que vous souhaitez couvrir :
example.com,www.example.com,example.org - Complétez un challenge pour chaque domaine — HTTP-01 (placer un fichier) ou DNS-01 (ajouter un enregistrement TXT)
- GetHTTPS pré-vérifie chaque challenge avant de soumettre à Let’s Encrypt
- Téléchargez un seul certificat couvrant tous les domaines
Chaque domaine nécessite sa propre validation car Let’s Encrypt doit vérifier que vous contrôlez chacun d’eux indépendamment. GetHTTPS les traite séquentiellement — vous vérifiez un domaine, puis le suivant.
Exemple : 3 domaines, challenges mixtes
| Domaine | Type de challenge | Ce que vous faites |
|---|---|---|
example.com | HTTP-01 | Placer un fichier sur le serveur |
www.example.com | HTTP-01 | Même serveur, même processus |
example.org | DNS-01 | Ajouter un enregistrement TXT (fournisseur DNS différent) |
Une fois les trois validés, vous recevez un jeu de fichiers de certificat (fullchain.pem, privkey.pem) couvrant les trois domaines.
Installer un certificat multi-domaines
L’installation est identique à celle d’un certificat single-domain. Le serveur ne se soucie pas du nombre de SAN dans le certificat — il utilise les mêmes fichiers.
Nginx :
server {
listen 443 ssl http2;
server_name example.com www.example.com example.org;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}
Apache :
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com example.org
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Si les domaines pointent vers des serveurs différents, installez les mêmes fichiers de certificat sur chaque serveur. Le certificat est valide pour tous les domaines listés, quel que soit le serveur qui le présente.
Questions fréquentes
Un certificat SAN est-il plus cher ?
Pas avec Let’s Encrypt. Vous pouvez inclure jusqu’à 100 domaines dans un seul certificat gratuit via GetHTTPS. Certaines CA commerciales facturent 10–50 $ par entrée SAN supplémentaire.
Tous les domaines doivent-ils être sur le même serveur ?
Non. Le certificat fonctionne sur n’importe quel serveur. Installez les mêmes fichiers fullchain.pem et privkey.pem sur chaque serveur qui doit servir l’un des domaines listés.
Puis-je ajouter un domaine à un certificat SAN existant ?
Pas directement — vous ne pouvez pas modifier un certificat déjà émis. Vous devez demander un nouveau certificat incluant tous les domaines (existants + nouveaux). Avec GetHTTPS, cela prend quelques minutes.
Quand dois-je utiliser des certificats séparés ?
Utilisez des certificats séparés quand :
- Des équipes différentes gèrent des domaines différents (clés séparées = contrôle d’accès séparé)
- Des calendriers de renouvellement différents sont nécessaires
- L’isolation compte — compromettre une clé ne devrait pas affecter les autres domaines
- Vous dépassez 100 noms — répartissez sur plusieurs certificats
Comment SAN affecte-t-il la taille du certificat ?
Chaque entrée SAN ajoute environ 30–50 octets au certificat. Avec 100 entrées, le certificat est quelques Ko plus gros. Cela a un impact négligeable sur la vitesse du handshake TLS.
Quelle est la différence entre SAN et UCC ?
UCC (Unified Communications Certificate) est le nom donné par Microsoft aux certificats SAN multi-domaines, initialement conçus pour Exchange et Office Communications Server. Techniquement, c’est la même chose — un certificat avec plusieurs entrées SAN.