Tous les articles SSL SSL et certificats

Certificats SSL multi-domaines (SAN)

Un certificat SSL multi-domaines (également appelé certificat SAN ou UCC) sécurise plusieurs noms de domaine différents avec un seul certificat. Au lieu de gérer des certificats séparés pour example.com, example.org et myapp.io, un seul certificat SAN couvre tous ces domaines.

Cela diffère d’un certificat wildcard, qui couvre les sous-domaines d’un seul domaine. Un certificat SAN peut couvrir des domaines entièrement différents.

Comment fonctionnent les certificats SAN

SAN signifie Subject Alternative Name — un champ dans le standard de certificat X.509 qui liste les noms de domaine supplémentaires pour lesquels le certificat est valide. Lorsque votre navigateur se connecte à un serveur, il vérifie si le domaine demandé correspond à une entrée SAN.

Voici à quoi ressemble un certificat multi-domaines en interne :

Certificate for:
  CN: example.com
  SAN: example.com
  SAN: www.example.com
  SAN: example.org
  SAN: api.myapp.io

Les quatre domaines sont sécurisés par un seul certificat avec une seule clé privée. Le navigateur accepte la connexion si le nom d’hôte demandé correspond à une entrée SAN.

Limites : Let’s Encrypt prend en charge jusqu’à 100 entrées SAN par certificat. Les CA commerciales varient — certaines autorisent 250+, d’autres facturent par entrée.

Cas d’utilisation courants

Plusieurs domaines de marque

Vous gérez brandname.com, brandname.co.uk et brandname.de. Un seul certificat SAN couvre les trois sans gérer de certificats séparés par région.

Domaine + variantes www

Le cas d’utilisation SAN le plus courant : example.com + www.example.com. La plupart des certificats incluent automatiquement les deux. GetHTTPS vous invite à ajouter la variante www lorsque vous entrez un domaine nu.

Microservices sur différents domaines

Votre API est sur api.company.com, votre documentation sur docs.company.com et votre site marketing sur company.com. Un certificat SAN sécurise les trois. Si ce sont tous des sous-domaines, un wildcard pourrait être plus simple.

Migration entre domaines

Vous passez de olddomain.com à newdomain.com ? Un certificat SAN couvrant les deux vous permet de servir HTTPS sur les deux domaines pendant la transition sans maintenir deux certificats séparés.

SAN vs Wildcard

SAN (multi-domaines)Wildcard
CouvreDes domaines spécifiques listésTous les sous-domaines d’un domaine
Inter-domainesexample.com + other.com❌ Un seul domaine de base
Nouveaux domainesNécessite un nouveau certificatNouveaux sous-domaines couverts automatiquement
Type de challengeHTTP-01 ou DNS-01DNS-01 uniquement
Taille du certificatAugmente avec chaque entrée SANFixe
Cas d’utilisationPlusieurs domaines distinctsNombreux sous-domaines d’un domaine
Limite Let’s Encrypt100 noms par certificat1 wildcard par certificat (combinable avec SAN)

Vous pouvez combiner les deux : Un seul certificat peut inclure example.com, *.example.com et other.com comme entrées SAN. C’est courant pour couvrir le domaine nu, tous les sous-domaines et des domaines supplémentaires dans un seul certificat.

Obtenir un certificat multi-domaines avec GetHTTPS

  1. Rendez-vous sur gethttps.com/app/setup
  2. Entrez tous les domaines que vous souhaitez couvrir : example.com, www.example.com, example.org
  3. Complétez un challenge pour chaque domaine — HTTP-01 (placer un fichier) ou DNS-01 (ajouter un enregistrement TXT)
  4. GetHTTPS pré-vérifie chaque challenge avant de soumettre à Let’s Encrypt
  5. Téléchargez un seul certificat couvrant tous les domaines

Chaque domaine nécessite sa propre validation car Let’s Encrypt doit vérifier que vous contrôlez chacun d’eux indépendamment. GetHTTPS les traite séquentiellement — vous vérifiez un domaine, puis le suivant.

Exemple : 3 domaines, challenges mixtes

DomaineType de challengeCe que vous faites
example.comHTTP-01Placer un fichier sur le serveur
www.example.comHTTP-01Même serveur, même processus
example.orgDNS-01Ajouter un enregistrement TXT (fournisseur DNS différent)

Une fois les trois validés, vous recevez un jeu de fichiers de certificat (fullchain.pem, privkey.pem) couvrant les trois domaines.

Installer un certificat multi-domaines

L’installation est identique à celle d’un certificat single-domain. Le serveur ne se soucie pas du nombre de SAN dans le certificat — il utilise les mêmes fichiers.

Nginx :

server {
    listen 443 ssl http2;
    server_name example.com www.example.com example.org;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;
}

Apache :

<VirtualHost *:443>
    ServerName example.com
    ServerAlias www.example.com example.org

    SSLEngine on
    SSLCertificateFile /etc/ssl/cert.pem
    SSLCertificateKeyFile /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Si les domaines pointent vers des serveurs différents, installez les mêmes fichiers de certificat sur chaque serveur. Le certificat est valide pour tous les domaines listés, quel que soit le serveur qui le présente.

Questions fréquentes

Un certificat SAN est-il plus cher ?

Pas avec Let’s Encrypt. Vous pouvez inclure jusqu’à 100 domaines dans un seul certificat gratuit via GetHTTPS. Certaines CA commerciales facturent 10–50 $ par entrée SAN supplémentaire.

Tous les domaines doivent-ils être sur le même serveur ?

Non. Le certificat fonctionne sur n’importe quel serveur. Installez les mêmes fichiers fullchain.pem et privkey.pem sur chaque serveur qui doit servir l’un des domaines listés.

Puis-je ajouter un domaine à un certificat SAN existant ?

Pas directement — vous ne pouvez pas modifier un certificat déjà émis. Vous devez demander un nouveau certificat incluant tous les domaines (existants + nouveaux). Avec GetHTTPS, cela prend quelques minutes.

Quand dois-je utiliser des certificats séparés ?

Utilisez des certificats séparés quand :

  • Des équipes différentes gèrent des domaines différents (clés séparées = contrôle d’accès séparé)
  • Des calendriers de renouvellement différents sont nécessaires
  • L’isolation compte — compromettre une clé ne devrait pas affecter les autres domaines
  • Vous dépassez 100 noms — répartissez sur plusieurs certificats

Comment SAN affecte-t-il la taille du certificat ?

Chaque entrée SAN ajoute environ 30–50 octets au certificat. Avec 100 entrées, le certificat est quelques Ko plus gros. Cela a un impact négligeable sur la vitesse du handshake TLS.

Quelle est la différence entre SAN et UCC ?

UCC (Unified Communications Certificate) est le nom donné par Microsoft aux certificats SAN multi-domaines, initialement conçus pour Exchange et Office Communications Server. Techniquement, c’est la même chose — un certificat avec plusieurs entrées SAN.

Articles connexes

SSL et certificats 2026-05-07
Comprendre les certificats SSL Wildcard
Un certificat wildcard (*.example.com) securise tous les sous-domaines avec un seul certificat. Decouvrez comment les wildcards fonctionnent, leurs limitations et comment en obtenir un gratuitement.
Premiers pas 2026-05-08
Comment obtenir un certificat SSL gratuit (guide étape par étape)
Obtenez un certificat SSL gratuit de Let's Encrypt en 5 minutes — aucun logiciel à installer, aucun compte à créer. Guide complet couvrant 4 méthodes, les deux types de challenge, l'installation sur 6 plateformes et le dépannage.
SSL et certificats 2026-05-07
Types de certificats SSL expliqués : DV, OV et EV
Comparez les certificats SSL Domain Validation (DV), Organization Validation (OV) et Extended Validation (EV). Découvrez les différences de vérification, de coût, et quand vous avez réellement besoin de chaque type.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat