Todos os artigos sobre SSL SSL e certificados

Certificados SSL Multi-Domínio (SAN)

Um certificado SSL multi-domínio (também chamado de certificado SAN ou UCC) protege varios nomes de domínio diferentes com um único certificado. Em vez de gerenciar certificados separados para example.com, example.org e myapp.io, um único certificado SAN cobre todos eles.

Isso e diferente de um certificado wildcard, que cobre subdomínios de um domínio. Um certificado SAN pode cobrir domínios totalmente diferentes.

Como funcionam os certificados SAN

SAN significa Subject Alternative Name — um campo no padrão de certificados X.509 que lista nomes de domínio adicionais para os quais o certificado é válido. Quando seu navegador se conecta a um servidor, ele verifica se o domínio solicitado corresponde a alguma entrada SAN.

Veja como um certificado multi-domínio se parece internamente:

Certificate for:
  CN: example.com
  SAN: example.com
  SAN: www.example.com
  SAN: example.org
  SAN: api.myapp.io

Todos os quatro domínios sao protegidos por um único certificado com uma unica chave privada. O navegador aceita a conexão se o hostname solicitado corresponder a qualquer entrada SAN.

Limites: O Let’s Encrypt suporta até 100 entradas SAN por certificado. CAs comerciais variam — algumas permitem 250+, algumas cobram por entrada.

Casos de uso comuns

Múltiplos domínios de marca

Você administra brandname.com, brandname.co.uk e brandname.de. Um único certificado SAN cobre os tres sem gerenciar certificados separados por regiao.

Domínio + variantes www

O uso mais comum de SAN: example.com + www.example.com. A maioria dos certificados inclui ambos automaticamente. O GetHTTPS solicita que você adicione a variante www quando você insere um domínio simples.

Microsservicos em domínios diferentes

Sua API esta em api.company.com, sua documentacao em docs.company.com e seu site de marketing em company.com. Um certificado SAN protege os tres. Se todos sao subdomínios, um wildcard pode ser mais simples.

Migração entre domínios

Migrando de olddomain.com para newdomain.com? Um certificado SAN cobrindo ambos permite servir HTTPS em ambos os domínios durante a transicao sem manter dois certificados separados.

SAN vs Wildcard

SAN (multi-domínio)Wildcard
CobreDomínios listados especificosTodos os subdomínios de um domínio
Cross-domainexample.com + other.com❌ Apenas um domínio base
Novos domíniosRequer novo certificadoNovos subdomínios cobertos automaticamente
Tipo de desafioHTTP-01 ou DNS-01Apenas DNS-01
Tamanho do certificadoCresce com cada entrada SANFixo
Caso de usoMúltiplos domínios distintosMuitos subdomínios de um domínio
Limite Let’s Encrypt100 nomes por cert1 wildcard por cert (combine com SAN)

Você pode combinar ambos: Um único certificado pode incluir example.com, *.example.com e other.com como entradas SAN. Isso e comum para cobrir o domínio simples, todos os subdomínios e domínios adicionais em um único cert.

Obtendo um certificado multi-domínio com GetHTTPS

  1. Acesse gethttps.com/app/setup
  2. Insira todos os domínios que deseja cobrir: example.com, www.example.com, example.org
  3. Complete um desafio para cada domínio — HTTP-01 (colocar um arquivo) ou DNS-01 (adicionar um registro TXT)
  4. O GetHTTPS pre-verifica cada desafio antes de enviar ao Let’s Encrypt
  5. Baixe um certificado cobrindo todos os domínios

Cada domínio precisa de sua própria válidação porque o Let’s Encrypt deve verificar que você controla cada um independentemente. O GetHTTPS os trata sequencialmente — você verifica um, depois o proximo.

Exemplo: 3 domínios, desafios mistos

DomínioTipo de desafioO que você faz
example.comHTTP-01Colocar um arquivo no servidor
www.example.comHTTP-01Mesmo servidor, mesmo processo
example.orgDNS-01Adicionar um registro TXT (provedor DNS diferente)

Após os tres passarem, você recebe um conjunto de arquivos de certificado (fullchain.pem, privkey.pem) que cobre todos os tres.

Instalando um certificado multi-domínio

A instalação e identica a de um certificado de domínio único. O servidor não se importa com quantos SANs estao no cert — ele usa os mesmos arquivos.

Nginx:

server {
    listen 443 ssl http2;
    server_name example.com www.example.com example.org;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;
}

Apache:

<VirtualHost *:443>
    ServerName example.com
    ServerAlias www.example.com example.org

    SSLEngine on
    SSLCertificateFile /etc/ssl/cert.pem
    SSLCertificateKeyFile /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Se os domínios apontam para servidores diferentes, instale os mesmos arquivos de certificado em cada servidor. O certificado é válido para todos os domínios listados, independentemente de qual servidor o apresenta.

Perguntas frequentes

Um certificado SAN e mais caro?

Não com o Let’s Encrypt. Você pode incluir até 100 domínios em um único certificado gratuito via GetHTTPS. Algumas CAs comerciais cobram $10-50 por entrada SAN adicional.

Todos os domínios precisam estar no mesmo servidor?

Não. O certificado funciona em qualquer servidor. Instale os mesmos fullchain.pem e privkey.pem em cada servidor que precisa servir qualquer um dos domínios listados.

Posso adicionar um domínio a um certificado SAN existente?

Não diretamente — você não pode modificar um certificado já emitido. Você precisa solicitar um novo certificado que inclua todos os domínios (existentes + novo). Com o GetHTTPS, isso leva poucos minutos.

Quando devo usar certificados separados?

Use certificados separados quando:

  • Equipes diferentes gerenciam domínios diferentes (chaves separadas = controle de acesso separado)
  • Cronogramas de renovação diferentes sao necessarios
  • Isolamento importa — comprometer uma chave não deve afetar outros domínios
  • Você excede 100 nomes — divida entre múltiplos certificados

Como o SAN afeta o tamanho do certificado?

Cada entrada SAN adiciona ~30-50 bytes ao certificado. Com 100 entradas, o certificado fica alguns KB maior. Isso tem impacto insignificante na velocidade do handshake TLS.

Qual e a diferenca entre SAN e UCC?

UCC (Unified Communications Certificate) e o nome da Microsoft para certificados SAN multi-domínio, originalmente projetados para Exchange e Office Communications Server. Tecnicamente sao a mesma coisa — um certificado com múltiplas entradas SAN.

Artigos relacionados

SSL e certificados 2026-05-07
Entendendo Certificados SSL Wildcard
Um certificado wildcard (*.example.com) protege todos os subdomínios com um único certificado. Aprenda como wildcards funcionam, suas limitações e como obter um gratuitamente.
Primeiros passos 2026-05-08
Como obter um certificado SSL gratuito (guia passo a passo)
Obtenha um certificado SSL gratuito do Let's Encrypt em 5 minutos — sem software para instalar, sem conta para criar. Guia completo cobrindo 4 métodos, ambos os tipos de desafio, instalação em 6 plataformas e solução de problemas.
SSL e certificados 2026-05-07
Tipos de Certificados SSL Explicados: DV, OV e EV
Compare certificados SSL de Válidação de Domínio (DV), Válidação de Organização (OV) e Válidação Estendida (EV). Aprenda as diferencas em verificação, custo e quando você realmente precisa de cada tipo.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado