Billet ouvert 
+373 79 600002 
Telegram Live Chat 
F.A.Q 
Français
English 
Русский 
Română 
Deutsch 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
SécuritéQu’est-ce qu’un certificat SAN ? Le guide complet du SSL multi-domaines
Sécuriser plusieurs sites web, sous-domaines et services avec des certificats SSL individuels devient rapidement un cauchemar de gestion. Un certificat SAN (Subject Alternative Name) — également appelé certificat SSL multi-domaine — résout ce problème élégamment en protégeant des dizaines de noms de domaine différents sous un seul certificat unifié. Que vous exploitiez une plateforme SaaS, un réseau d’entreprise ou une opération de commerce électronique s’étendant sur plusieurs domaines régionaux, comprendre les certificats SAN est essentiel pour maintenir votre infrastructure à la fois sécurisée et gérable.
Qu’est-ce qu’un certificat SAN ?
Un certificat SAN est un type de certificat SSL/TLS qui utilise l’extension Subject Alternative Name pour lister plusieurs noms de domaine au sein d’un seul certificat. Au lieu d’acheter, d’installer et de renouveler des certificats distincts pour chaque domaine que vous possédez, un certificat SAN les consolide tous en un seul.
Par exemple, un seul certificat SAN peut simultanément protéger :
www.example.commail.example.comshop.example.orgapp.example.netsecure.example.io
Cette capacité fait des certificats SAN la solution de référence pour les grandes organisations, les fournisseurs SaaS et toute entreprise qui gère plus d’une propriété web.
Comment fonctionnent les certificats SAN ?
Chaque certificat SSL/TLS contient des champs de données structurés qui identifient le(s) domaine(s) qu’il est autorisé à sécuriser. Dans un certificat standard à domaine unique, seul le champ Common Name (CN) est utilisé. Un certificat SAN l’étend en remplissant l’extension Subject Alternative Names avec une liste de chaque domaine que le certificat doit couvrir.
Lorsqu’un navigateur ou un serveur initie une connexion HTTPS, il vérifie si le domaine demandé correspond au Common Name ou à l’un des SAN listés dans le certificat. Si une correspondance est trouvée, la connexion est validée et l’icône du cadenas apparaît. Sinon, le navigateur affiche un avertissement de sécurité.
Exemple de structure de certificat SAN
| Champ | Valeur |
|---|---|
| Common Name (CN) | www.example.com |
| Entrée SAN 1 | blog.example.com |
| Entrée SAN 2 | shop.example.org |
| Entrée SAN 3 | secure.example.net |
| Entrée SAN 4 | app.example.io |
Cette architecture signifie que l’ajout ou la mise à jour des domaines couverts est géré au niveau du certificat — vous réémettez simplement le certificat avec une liste SAN mise à jour plutôt que de provisionner un certificat entièrement nouveau.
Avantages clés de l’utilisation d’un certificat SAN
1. Économies de coûts importantes
L’achat de certificats SSL individuels pour chaque domaine que vous gérez est coûteux. Un seul certificat SAN couvre plusieurs domaines pour une fraction du coût combiné, ce qui en fait un choix financièrement judicieux pour les entreprises en croissance.
2. Gestion simplifiée des certificats
Au lieu de suivre les dates de renouvellement, les statuts de validation et les procédures d’installation pour des dizaines de certificats distincts, vous n’en gérez qu’un seul. Cela réduit considérablement les frais administratifs et le risque qu’un certificat expire inaperçu — ce qui peut mettre votre site hors ligne et détruire la confiance des utilisateurs du jour au lendemain.
3. Aucun compromis sur la sécurité
Les certificats SAN utilisent les mêmes normes de chiffrement robustes (clés RSA ou ECDSA, hachage SHA-256) que les certificats à domaine unique. Consolider les domaines sous un seul certificat n’affaiblit pas la posture de sécurité d’un domaine individuel.
4. Compatibilité large des serveurs et clients
Les certificats SAN sont pris en charge par pratiquement tous les serveurs web modernes (Apache, Nginx, IIS, LiteSpeed), serveurs de messagerie et navigateurs clients. Ils constituent l’approche standard de l’industrie pour les déploiements multi-domaines.
5. Flexibilité entre les TLD
Contrairement aux certificats wildcard, qui sont limités aux sous-domaines d’un seul domaine, les certificats SAN peuvent protéger des noms de domaine complètement différents sur différents domaines de premier niveau (.com, .net, .org, .io, etc.) simultanément.
Types de certificats SAN
Tous les certificats SAN ne sont pas identiques. Comprendre les types disponibles vous aide à choisir le bon niveau de validation et de couverture pour votre cas d’usage spécifique.
Certificat SSL multi-domaine (DV ou OV)
Le type le plus courant. Protège plusieurs noms de domaine entièrement qualifiés sur différents TLD. Disponible avec Domain Validation (DV) pour une émission rapide ou Organization Validation (OV) pour des signaux de confiance supplémentaires.
- Idéal pour : Les entreprises gérant plusieurs sites web ou applications web distincts.
Certificat SAN Wildcard
Combine la couverture wildcard (*.example.com) avec le support multi-domaine. Un seul certificat peut couvrir tous les sous-domaines de plusieurs domaines de base simultanément.
- Idéal pour : Les organisations ayant un grand nombre de sous-domaines répartis sur plusieurs domaines racine.
Certificat SAN EV (Extended Validation)
Fournit le plus haut niveau de vérification d’identité disponible. L’autorité de certification vérifie rigoureusement l’organisation avant l’émission. Tous les domaines listés bénéficient du statut de validation étendue.
- Idéal pour : Les institutions financières, les portails d’entreprise et les plateformes de commerce électronique où la confiance maximale des utilisateurs est critique.
Certificats SAN vs certificats Wildcard : différences clés
Un point de confusion courant est de savoir quand choisir un certificat SAN plutôt qu’un certificat wildcard. Voici une comparaison directe :
| Fonctionnalité | Certificat SAN | Certificat Wildcard |
|---|---|---|
| Couvre plusieurs domaines racine | ✅ Oui | ❌ Non |
| Couvre les sous-domaines illimités | ❌ Non (chaque SAN listé) | ✅ Oui (un niveau de profondeur) |
| Supporte différents TLD | ✅ Oui | ❌ Non |
| Validation EV disponible | ✅ Oui | ❌ Non |
| Idéal pour | Portefeuilles de domaines diversifiés | Un seul domaine, plusieurs sous-domaines |
Dans de nombreux déploiements du monde réel, les administrateurs utilisent un certificat SAN Wildcard pour obtenir les avantages des deux approches.
Comment obtenir un certificat SAN : étape par étape
Étape 1 : Choisir une autorité de certification (AC) de confiance
Sélectionnez une AC réputée qui offre des certificats SAN avec le niveau de validation dont vous avez besoin. Recherchez des AC incluses dans tous les principaux magasins de confiance des navigateurs. Si vous êtes déjà hébergé chez AlexHost SSL Certificates, vous pouvez gérer l’approvisionnement en certificats directement via votre tableau de bord d’hébergement.
Étape 2 : Générer une demande de signature de certificat (CSR)
Sur votre serveur, générez une CSR qui inclut votre domaine principal comme Common Name. La plupart des logiciels serveur modernes et des panneaux de contrôle vous permettent de spécifier des SAN supplémentaires lors de la génération de la CSR.
openssl req -new -newkey rsa:2048 -nodes
-keyout yourdomain.key
-out yourdomain.csr
-subj "/CN=www.example.com"Pour les entrées SAN, vous les configurerez généralement dans votre fichier openssl.cnf ou directement via le portail web de votre AC lors du processus de candidature.
Étape 3 : Spécifier tous les domaines SAN
Lors de la demande de certificat, listez chaque domaine et sous-domaine que vous souhaitez que le certificat couvre. Soyez minutieux — l’ajout de domaines après l’émission nécessite une réémission du certificat.
Étape 4 : Compléter la validation du domaine
Pour chaque domaine listé dans les champs SAN, vous devez prouver la propriété. Les trois méthodes de validation standard sont :
- Validation par e-mail : Répondez à un e-mail de confirmation envoyé à une adresse enregistrée pour le domaine.
- Validation DNS : Ajoutez un enregistrement TXT ou CNAME spécifique à la zone DNS du domaine.
- Validation basée sur fichier (HTTP) : Téléchargez un fichier spécifique vers un chemin désigné sur le serveur web.
La validation DNS est généralement préférée pour les certificats SAN car elle peut être automatisée et ne nécessite pas que le serveur web soit accessible au public lors de la validation.
Étape 5 : Installer le certificat sur votre serveur
Une fois que l’AC émet le certificat, installez-le sur votre serveur et configurez chaque domaine listé pour l’utiliser. Sur un serveur Nginx, une configuration de base ressemble à ceci :
server {
listen 443 ssl;
server_name www.example.com blog.example.com shop.example.org;
ssl_certificate /etc/ssl/certs/san_certificate.crt;
ssl_certificate_key /etc/ssl/private/san_certificate.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}Si vous exécutez un environnement VPS Hosting, vous avez un accès root complet pour configurer SSL exactement comme votre infrastructure l’exige, sans les restrictions des environnements partagés.
Gestion et renouvellement de votre certificat SAN
La gestion appropriée du cycle de vie est critique. Un seul certificat SAN expiré peut simultanément casser HTTPS pour chaque domaine qu’il couvre — une panne potentiellement catastrophique.
Meilleures pratiques pour la gestion des certificats SAN
- Maintenir un inventaire de domaines : Conservez une liste à jour de tous les domaines couverts par chaque certificat SAN, y compris leurs dates d’expiration.
- Définir des rappels de renouvellement tôt : Commencez le processus de renouvellement au moins 30 jours avant l’expiration. De nombreuses AC supportent maintenant les certificats de 90 jours (comme Let’s Encrypt), donc l’automatisation est fortement recommandée.
- Auditer votre liste SAN lors du renouvellement : Utilisez chaque renouvellement comme une opportunité de supprimer les domaines désaffectés et d’en ajouter de nouveaux.
- Automatiser avec les clients ACME : Les outils comme Certbot supportent les certificats SAN et peuvent automatiser à la fois l’émission et le renouvellement via le protocole ACME.
- Tester après l’installation : Après l’installation d’un certificat renouvelé, utilisez des outils comme SSL Test de SSL Labs pour vérifier que tous les domaines listés sont correctement sécurisés.
Mise à jour de la liste SAN
Si vous avez besoin d’ajouter ou de supprimer des domaines en cours de cycle, vous devrez rémettre le certificat (pas seulement le renouveler). La plupart des AC permettent une réémission gratuite au cours de la période de validité du certificat. Le processus reflète la demande originale — vous soumettez une nouvelle CSR avec la liste SAN mise à jour et revalidez tous les domaines nouvellement ajoutés.
Cas d’usage courants pour les certificats SAN
SaaS et applications web
Les fournisseurs SaaS utilisent fréquemment les certificats SAN pour sécuriser leur domaine d’application principal, les points de terminaison API, les portails clients et les sites marketing sous un seul certificat. Cela simplifie les pipelines de déploiement et assure une couverture SSL cohérente sur toute la suite de produits.
Réseaux d’entreprise
Les grandes entreprises gèrent souvent un mélange de sous-domaines internes, de portails partenaires et de sites web accessibles au public. Un certificat SAN — ou un ensemble d’entre eux — fournit une gouvernance SSL centralisée sur l’ensemble du portefeuille de domaines. Si votre organisation exécute des Dedicated Servers, vous avez le contrôle d’infrastructure nécessaire pour déployer et gérer des configurations SAN complexes à grande échelle.
Plateformes de commerce électronique
Les détaillants en ligne avec des vitrines régionales (shop.example.co.uk, shop.example.de, shop.example.fr) peuvent protéger chaque vitrine avec un seul certificat SAN, assurant une expérience d’achat cohérente et fiable pour les clients du monde entier.
Infrastructure de messagerie
Les certificats SAN sont largement utilisés pour sécuriser les serveurs de messagerie, couvrant les noms d’hôte SMTP, IMAP et POP3 sous un seul certificat. Si vous comptez sur Email Hosting pour les communications professionnelles, s’assurer que le certificat SSL de votre serveur de messagerie est correctement configuré est essentiel pour la sécurité et la délivrabilité.
Environnements de développement et de staging
Les équipes gérant plusieurs environnements (production, staging, développement) sur différents sous-domaines peuvent utiliser un certificat SAN pour maintenir HTTPS sur tous les environnements sans les frais généraux de certificats distincts par environnement.
Certificats SAN et votre environnement d’hébergement
Le type d’environnement d’hébergement que vous utilisez affecte directement la façon dont vous déployez et gérez les certificats SAN.
Hébergement partagé : Sur les plans Shared Web Hosting, la gestion SSL est généralement gérée via le panneau de contrôle d’hébergement. Vérifiez si votre fournisseur supporte les certificats SAN personnalisés ou offre uniquement des options à domaine unique et wildcard via son interface.
Hébergement VPS : Un VPS avec cPanel vous donne à la fois la flexibilité d’un panneau de contrôle géré et l’accès au niveau du serveur nécessaire pour installer des certificats SAN personnalisés sur plusieurs domaines hébergés sur le même serveur.
Serveurs dédiés : Pour un contrôle maximal, un serveur dédié vous permet de configurer votre serveur web, équilibreur de charge et proxy inverse pour utiliser les certificats SAN exactement comme votre architecture l’exige — y compris les configurations avancées comme l’épinglage de certificat et l’agrafage OCSP.
Questions fréquemment posées sur les certificats SAN
Combien de domaines un certificat SAN peut-il couvrir ?
Cela dépend de l’AC et du produit spécifique. La plupart des certificats SAN commerciaux supportent entre 5 et 250 SAN. Certaines AC offrent des ajouts SAN illimités pour des frais supplémentaires par domaine.
Puis-je mélanger différents types de domaines dans un seul certificat SAN ?
Oui. Un seul certificat SAN peut inclure des domaines nus, des sous-domaines www, d’autres sous-domaines et des domaines sur des TLD complètement différents.
Un certificat SAN est-il identique à un certificat UCC ?
Essentiellement, oui. Un Unified Communications Certificate (UCC) est un terme marketing utilisé principalement dans les contextes Microsoft Exchange et Office Communications Server. Techniquement, c’est un certificat SAN optimisé pour ces environnements.
Les certificats SAN affectent-ils le SEO ?
Pas directement. Ce qui compte pour le SEO est que HTTPS soit correctement implémenté et qu’il n’y ait pas d’avertissements de contenu mixte. Un certificat SAN correctement installé réalise cela pour chaque domaine qu’il couvre, tout comme le ferait un certificat à domaine unique.
Puis-je utiliser un certificat SAN avec un CDN ou un équilibreur de charge ?
Oui. Les certificats SAN sont entièrement compatibles avec les déploi