Wat is een certificaat voor meerdere domeinen (SAN-certificaat)?
Wanneer u een nieuw TLS/SSL-certificaat bestelt of uitgeeft, kunt u in het veld 'Subject Alternative Name' extra hostnamen (sites, IP-adressen, gemeenschappelijke namen, enz.) opgeven die u wilt beschermen met een enkel TLS/SSL-certificaat, zoals een (SAN-)certificaat voor meerdere domeinen of een Extended Validation-certificaat voor meerdere domeinen.
De extensie Subject Alternative Name maakt als sinds vóór 1999 deel uit van de X509-certificaatnorm, maar werd pas na de lancering van Microsoft Exchange Server 2007 op grote schaal gebruikt. Dit was een nuttige verandering, omdat daarmee de serverconfiguratie werd vereenvoudigd. Tegenwoordig worden Subject Alternative Names veel gebruikt in omgevingen of platformen waar meerdere websitenamen in verschillende (sub)domeinen moeten worden beveiligd.
Waar worden Subject Alternative Names (SAN's) voor gebruikt?
De belangrijkste drie manieren waarop Subject Alternative Names (SAN's) worden gebruikt, zijn:
- Het beveiligen van hostnamen in verschillende hoofddomeinen met één TLS/SSL-certificaat: Een wildcardcertificaat beschermt alle subdomeinen op het eerste niveau in een compleet domein, zoals *.voorbeeld.com. Maar een wildcardcertificaat kan niet zowel www.voorbeeld.com als www.voorbeeld.net beschermen.
- Virtueel hosten van meerdere TLS/SSL-sites op één IP-adres: Voor het hosten van meerdere TLS/SSL-sites op een enkele server is meestal een uniek IP-adres per site nodig. Met een certificaat voor meerdere domeinen met Subject Alternative Names kunt u dit probleem oplossen. Zowel Microsoft IIS als Apache kunnen HTTPS-sites virtueel hosten met een certificaat voor meerdere domeinen (SAN-certificaat).
- Aanzienlijk vereenvoudigen van de TLS/SSL-configuratie van uw server: Met certificaten voor meerdere domeinen hoeft u niet langer tijd te besteden aan het configureren van meerdere IP-adressen op uw server, het koppelen van elk IP-adres aan een ander certificaat en alles wat daarbij komt kijken.
Waar kan ik Subject Alternative Names in actie zien?
Als u een voorbeeld wilt bekijken van Subject Alternative Names, klikt u in de adresbalk van deze pagina op het hangslotje om ons TLS/SSL-certificaat weer te geven. In de details van het certificaat ziet u de extensie Subject Alternative Name waarbij www.digicert.com/nl en digicert.com worden vermeld, naast een aantal andere SAN's in het certificaat. Omdat de naam digicert.com in het certificaat wordt vermeld, krijgt u geen waarschuwing van uw browser wanneer u https://digicert.com bezoekt en de 'www' in de naam niet ziet.
Hoe gebruiken browsers het veld Subject Alternative Name in de TLS/SSL-certificaten?
Wanneer een browser verbinding maakt met uw server via HTTPS, wordt gecontroleerd of uw TLS/SSL-certificaat overeenkomt met de hostnaam in de adresbalk.
Er zijn drie manieren waarop de browser een overeenkomst kan vinden:
- De hostnaam in de adresbalk komt exact overeen met de Common Name in het veld 'Subject' van het certificaat.
- De hostnaam komt overeen met een Wildcard Common Name. Bijvoorbeeld: www.voorbeeld.com komt overeen met de Common Name *.voorbeeld.com.
- De hostnaam staat vermeld in het veld Subject Alternative Name.
In de meeste gevallen zal de TLS/SSL-client de naam van de server waarmee deze is verbonden vergelijken met de Common Name in het certificaat van de server. In principe kunnen alle TLS-clients controleren of de namen exact overeenkomen.
Als het TLS-certificaat een veld 'Subject Alternative Name (SAN)' bevat, moeten TLS-clients de waarde 'Common Name' negeren en zoeken in de SAN-lijst. Daarom herhaalt DigiCert de waarde 'Common Name' altijd als eerste SAN in zijn certificaten.
Welke TLS-clients ondersteunen Subject Alternative Names?
De meeste mobiele apparaten ondersteunen Subject Alternative Names en de meeste ondersteunen wildcardcertificaten, maar ze ondersteunen allemaal het controleren van de exacte naam.
Internet Explorer, Firefox, Opera, Safari en Netscape: Al deze browsers ondersteunen Subject Alternative Names sinds 2003. Internet Explorer doet dit eigenlijk al sinds Windows 98.
Micrsoft Edge: De nieuwste browser van Microsoft ondersteunt Subject Alternative Names.
Windows Phone: Ondersteunt Subject Alternative Names en wildcards.
Nieuwere Palm Treo's: Deze apparaten gebruiken WM5, maar de oudere versies werken met PalmOS en gebruiken VersaMail voor ActiveSync. De oudere Treo's bieden geen ondersteuning voor Subject Alternative Names.
Nieuwere smartphones met Symbian OS: Symbian OS ondersteunt Subject Alternative Names vanaf versie 9.2 en hoger.
Oudere smartphones met Symbian OS: Symbian OS 9.1 en oudere versies ondersteunen Subject Alternative Names niet. Dit lijkt te zijn opgelost in Symbian OS 9.2 (S60 3rd Edition, Feature Pack 1).
Oudere Palm Treo's: Deze apparaten werken met PalmOS en gebruiken VersaMail voor ActiveSync. Deze oudere Treo's bieden geen ondersteuning voor Subject Alternative Names.
Omdat niet alle mobiele apparaten het veld 'Subject Alternative Name' kunnen gebruiken, is het het beste om in het veld 'Common Name' de naam in te vullen die de meeste mobiele apparaten zullen gebruiken.
