Um certificado SSL multi-domínio (também chamado de certificado SAN ou UCC) protege varios nomes de domínio diferentes com um único certificado. Em vez de gerenciar certificados separados para example.com, example.org e myapp.io, um único certificado SAN cobre todos eles.
Isso e diferente de um certificado wildcard, que cobre subdomínios de um domínio. Um certificado SAN pode cobrir domínios totalmente diferentes.
Como funcionam os certificados SAN
SAN significa Subject Alternative Name — um campo no padrão de certificados X.509 que lista nomes de domínio adicionais para os quais o certificado é válido. Quando seu navegador se conecta a um servidor, ele verifica se o domínio solicitado corresponde a alguma entrada SAN.
Veja como um certificado multi-domínio se parece internamente:
Certificate for:
CN: example.com
SAN: example.com
SAN: www.example.com
SAN: example.org
SAN: api.myapp.io
Todos os quatro domínios sao protegidos por um único certificado com uma unica chave privada. O navegador aceita a conexão se o hostname solicitado corresponder a qualquer entrada SAN.
Limites: O Let’s Encrypt suporta até 100 entradas SAN por certificado. CAs comerciais variam — algumas permitem 250+, algumas cobram por entrada.
Casos de uso comuns
Múltiplos domínios de marca
Você administra brandname.com, brandname.co.uk e brandname.de. Um único certificado SAN cobre os tres sem gerenciar certificados separados por regiao.
Domínio + variantes www
O uso mais comum de SAN: example.com + www.example.com. A maioria dos certificados inclui ambos automaticamente. O GetHTTPS solicita que você adicione a variante www quando você insere um domínio simples.
Microsservicos em domínios diferentes
Sua API esta em api.company.com, sua documentacao em docs.company.com e seu site de marketing em company.com. Um certificado SAN protege os tres. Se todos sao subdomínios, um wildcard pode ser mais simples.
Migração entre domínios
Migrando de olddomain.com para newdomain.com? Um certificado SAN cobrindo ambos permite servir HTTPS em ambos os domínios durante a transicao sem manter dois certificados separados.
SAN vs Wildcard
| SAN (multi-domínio) | Wildcard | |
|---|---|---|
| Cobre | Domínios listados especificos | Todos os subdomínios de um domínio |
| Cross-domain | ✅ example.com + other.com | ❌ Apenas um domínio base |
| Novos domínios | Requer novo certificado | Novos subdomínios cobertos automaticamente |
| Tipo de desafio | HTTP-01 ou DNS-01 | Apenas DNS-01 |
| Tamanho do certificado | Cresce com cada entrada SAN | Fixo |
| Caso de uso | Múltiplos domínios distintos | Muitos subdomínios de um domínio |
| Limite Let’s Encrypt | 100 nomes por cert | 1 wildcard por cert (combine com SAN) |
Você pode combinar ambos: Um único certificado pode incluir example.com, *.example.com e other.com como entradas SAN. Isso e comum para cobrir o domínio simples, todos os subdomínios e domínios adicionais em um único cert.
Obtendo um certificado multi-domínio com GetHTTPS
- Acesse gethttps.com/app/setup
- Insira todos os domínios que deseja cobrir:
example.com,www.example.com,example.org - Complete um desafio para cada domínio — HTTP-01 (colocar um arquivo) ou DNS-01 (adicionar um registro TXT)
- O GetHTTPS pre-verifica cada desafio antes de enviar ao Let’s Encrypt
- Baixe um certificado cobrindo todos os domínios
Cada domínio precisa de sua própria válidação porque o Let’s Encrypt deve verificar que você controla cada um independentemente. O GetHTTPS os trata sequencialmente — você verifica um, depois o proximo.
Exemplo: 3 domínios, desafios mistos
| Domínio | Tipo de desafio | O que você faz |
|---|---|---|
example.com | HTTP-01 | Colocar um arquivo no servidor |
www.example.com | HTTP-01 | Mesmo servidor, mesmo processo |
example.org | DNS-01 | Adicionar um registro TXT (provedor DNS diferente) |
Após os tres passarem, você recebe um conjunto de arquivos de certificado (fullchain.pem, privkey.pem) que cobre todos os tres.
Instalando um certificado multi-domínio
A instalação e identica a de um certificado de domínio único. O servidor não se importa com quantos SANs estao no cert — ele usa os mesmos arquivos.
Nginx:
server {
listen 443 ssl http2;
server_name example.com www.example.com example.org;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}
Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com example.org
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Se os domínios apontam para servidores diferentes, instale os mesmos arquivos de certificado em cada servidor. O certificado é válido para todos os domínios listados, independentemente de qual servidor o apresenta.
Perguntas frequentes
Um certificado SAN e mais caro?
Não com o Let’s Encrypt. Você pode incluir até 100 domínios em um único certificado gratuito via GetHTTPS. Algumas CAs comerciais cobram $10-50 por entrada SAN adicional.
Todos os domínios precisam estar no mesmo servidor?
Não. O certificado funciona em qualquer servidor. Instale os mesmos fullchain.pem e privkey.pem em cada servidor que precisa servir qualquer um dos domínios listados.
Posso adicionar um domínio a um certificado SAN existente?
Não diretamente — você não pode modificar um certificado já emitido. Você precisa solicitar um novo certificado que inclua todos os domínios (existentes + novo). Com o GetHTTPS, isso leva poucos minutos.
Quando devo usar certificados separados?
Use certificados separados quando:
- Equipes diferentes gerenciam domínios diferentes (chaves separadas = controle de acesso separado)
- Cronogramas de renovação diferentes sao necessarios
- Isolamento importa — comprometer uma chave não deve afetar outros domínios
- Você excede 100 nomes — divida entre múltiplos certificados
Como o SAN afeta o tamanho do certificado?
Cada entrada SAN adiciona ~30-50 bytes ao certificado. Com 100 entradas, o certificado fica alguns KB maior. Isso tem impacto insignificante na velocidade do handshake TLS.
Qual e a diferenca entre SAN e UCC?
UCC (Unified Communications Certificate) e o nome da Microsoft para certificados SAN multi-domínio, originalmente projetados para Exchange e Office Communications Server. Tecnicamente sao a mesma coisa — um certificado com múltiplas entradas SAN.