Cos'è un certificato multidominio (SAN)?
Durante l'ordine o emissione di un nuovo certificato TLS/SSL, compare il campo Nome alternativo del soggetto (Subject Alternative Name) che consente di specificare nomi host aggiuntivi (siti, indirizzi IP, nomi comuni, ecc.) da proteggere con un singolo certificato TLS/SSL, come un certificatomultidominio (SAN) o un certificato multidominio Extend Validation.
L'estensione Nome alternativo del soggetto (SAN) era inclusa nello standard dei certificati X509 già prima del 1999, ma è diventata di uso comune solo con il lancio di Microsoft Exchange Server 2007. Questa modifica è stata utile per semplificare le configurazioni dei server. Ora, i Nomi alternativi del soggetto (SAN) sono largamente utilizzati per ambienti o piattaforme che devono proteggere diversi nomi di siti web su più domini e sottodomini.
A cosa servono i Nomi alternativi del soggetto (SAN)?
Esistono tre modi principali per utilizzare i Nomi alternativi del soggetto (SAN):
- Proteggere nomi host su diversi domini di base con un unico certificato TLS/SSL: un certificato Wildcard può proteggere tutti i sottodomini di primo livello di un intero dominio, come *.esempio.com. Tuttavia, il certificato Wildcard non può proteggere sia www.esempio.com sia www.esempio.net.
- Ospitare virtualmente più siti TLS/SSL su un unico indirizzo IP: l'hosting di più siti abilitati TLS/SSL su un singolo server richiede in genere un indirizzo IP unico per ogni sito, ma un certificato multidominio (SAN) con i Nomi alternativi del soggetto può risolvere questo problema. Microsoft IIS e Apache sono entrambi in grado di ospitare virtualmente siti HTTPS utilizzando certificati multidominio (SAN).
- Facilitare di gran lunga la configurazione TLS/SSL del tuo server: l'uso di un certificato multidominio (SAN) ti fa risparmiare il tempo e il lavoro necessari per configurare più indirizzi IP sul tuo server, vincolare ogni indirizzo IP a un certificato diverso e per far combaciare tutto.
Dove puoi vedere i Nomi alternativi del soggetto in azione?
Per vedere un esempio di Nomi alternativi del soggetto (SAN), fai clic sul lucchetto nella barra degli indirizzi del tuo browser ed esamina il certificato TLS/SSL utilizzato per questa pagina. Nei dettagli del certificato, troverai l'estensione Nome alternativo del soggetto che elenca sia www.digicert.com/it che digicert.com oltre ad alcune SAN aggiuntive protette dal nostro certificato. Poiché il nome digicert.com è riportato nel nostro certificato, il tuo browser non emetterà alcun avviso se visiterai il nostro sito all'indirizzo https://digicert.com senza vedere il "www" nel nome.
In che modo i browser utilizzano il campo Nome alternativo del soggetto (SAN) del tuo certificato TLS/SSL?
Quando i browser si connettono al tuo server utilizzando il protocollo HTTPS, controllano che il tuo certificato TLS/SSL corrisponda al nome dell'host nella barra degli indirizzi.
Esistono tre modi con cui i browser trovano una corrispondenza:
- Il nome host (nella barra degli indirizzi) corrisponde esattamente al nome comune del soggetto del certificato.
- Il nome host corrisponde a un nome comune Wildcard. Per esempio, www.esempio.com corrisponde al nome comune *.esempio.com.
- Il nome host è indicato nel campo Nome alternativo del soggetto.
La forma più comune di corrispondenza dei nomi TLS/SSL prevede che il client TLS/SSL confronti il nome del server a cui si è connesso con il nome comune del certificato del server. È ragionevole presumere che tutti i client TLS supportino la corrispondenza esatta dei nomi comuni.
Se un certificato TLS ha il campo Nome alternativo del soggetto (SAN), i client TLS devono ignorare il valore nome comune e cercare una corrispondenza nell'elenco SAN. Per questo motivo DigiCert ripete sempre il nome comune come primo nome SAN nei nostri certificati.
Quali client TLS/SSL supportano i Nomi alternativi del soggetto?
La maggior parte dei dispositivi mobili supporta i Nomi alternativi del soggetto, molti supportano i certificati Wildcard, ma tutti supportano la corrispondenza esatta con il nome comune.
Internet Explorer, Firefox, Opera, Safari e Netscape: supportano tutti i Nomi alternativi del soggetto dal 2003. Internet Explorer li supporta fin da Windows 98.
Microsoft Edge: il nuovo browser di Microsoft supporta i Nomi alternativi del soggetto.
Windows Phone: supporta i Nomi alternativi del soggetto e la corrispondenza con i caratteri jolly.
Palm Treo più recente: questi dispositivi utilizzano WM5, ma quelli più obsoleti eseguono PalmOS e utilizzano VersaMail per ActiveSync. I Treo più obsoleti non supportano la corrispondenza con il Nome alternativo del soggetto.
Smartphone più recenti con sistema operativo Symbian: Symbian OS supporta i nomi alternativi del soggetto dalla versione 9.2 in poi.
Smartphone più obsoleti con sistema operativo Symbian: Symbian OS 9.1 e precedenti non supportano la corrispondenza con i Nomi alternativi del soggetto. Questo problema sembra essere stato risolto con Symbian OS 9.2 (S60 3rd Edition, Feature Pack 1).
Palm Treo più obsoleto: questi dispositivi eseguono PalmOS e utilizzano VersaMail per ActiveSync. I Treo più obsoleti non supportano la corrispondenza con i Nomi alternativi del soggetto.
Poiché non tutti i dispositivi mobili supportano il campo Nome alternativo del soggetto, è più sicuro impostare il nome comune sul nome che sarà utilizzato dalla maggior parte dei dispositivi mobili.