Was ist ein Multi-Domain-(SAN-)Zertifikat?
Bei der Be- oder Ausstellung eines neuen TLS/SSL-Zertifikats können Sie im Feld „Subject Alternative Name“ weitere Hostnamen (also Websites, IP-Adressen, Common Names usw.) angeben, die von einem einzelnen TLS/SSL-Zertifikat geschützt werden sollen. Dazu zählen beispielsweise Multi-Domain- bzw. SAN-Zertifikate sowie Multi-Domain-Zertifikate mit Extended Validation (EV).
Das Alternativnamenkonzept „Subject Alternative Name“ war schon vor 1999 Bestandteil des Zertifikatstandards X509, doch erst mit der Einführung von Microsoft Exchange Server 2007 kam es flächendeckend in Gebrauch. Sein Nutzen liegt darin, dass es die Serverkonfiguration vereinfacht. Subject Alternative Names sind heute gängig beim Schutz von Umgebungen und Plattformen, die mehrere Website-Namen über unterschiedliche Domains und Subdomains hinweg umfassen.
Wofür werden Subject Alternative Names (SANs) genutzt?
Für Subject Alternative Names (SANs) gibt es drei wichtige Anwendungsgebiete:
- Absicherung von Hostnamen über mehrere Grunddomains hinweg – mit einem einzigen TLS/SSL-Zertifikat: Ein Wildcard-Zertifikat kann alle Subdomains der ersten Ebene für eine Gesamtdomain wie *.beispiel.com schützen. Allerdings reicht ein Wildcard-Zertifikat nicht, um sowohl www.beispiel.com als auch www.beispiel.net zu schützen.
- Virtuelles Hosten mehrerer TLS/SSL-fähiger Websites unter einer einzigen IP-Adresse: Um mehrere TLS/SSL-fähige Websites auf einem Server zu hosten, benötigt eigentlich jede davon eine eigene IP-Adresse, doch ein Multi-Domain-(SAN-)Zertifikat mit Alternativnamen kann dieses Problem lösen. Microsoft IIS und Apache sind in der Lage, HTTPS-Websites mittels Multi-Domain-(SAN-)Zertifikaten virtuell zu hosten.
- Deutliche Vereinfachung der TLS/SSL-Konfiguration von Servern: Mit einem Multi-Domain-(SAN-) Zertifikat sparen Sie Zeit und schonen Ihre Nerven, da Sie nicht mehrere IP-Adressen verwalten müssen, indem Sie jeder IP-Adresse ein anderes Zertifikat zuweisen und versuchen, den Überblick zu behalten.
Ein Praxisbeispiel für Subject Alternative Names, bitte!
Alternativbezeichnungen für unsere Website zum Beispiel sehen Sie, wenn Sie auf das Schloss-Symbol in der Browser-Adressleiste dieser Seite klicken und weitere Informationen zum TLS/SSL-Zertifikat aufrufen. Diese enthalten einen Abschnitt mit Alternativbezeichnungen, in dem sowohl www.digicert.com/de als auch nur „digicert.com“ sowie weitere SANs aufgeführt sind, die unser Zertifikat schützt. Da „digicert.com“ in unserem Zertifikat aufgeführt ist, gibt Ihr Browser keine Warnung aus, wenn Sie unsere Website als „https://digicert.com/de“ aufrufen – ohne das „www“.
Wie verwenden Browser das Feld für Subject Alternative Names im TLS/SSL-Zertifikat?
Wenn sich ein Browser per HTTPS mit Ihrem Server verbindet, prüft er, ob Ihr TLS/SSL-Zertifikat mit dem Hostnamen in der Adressleiste übereinstimmt.
Für diesen Abgleich gibt es drei Möglichkeiten:
- Der Hostname (die URL in der Adressleiste) ist identisch mit dem Common Name des Zertifikatantragstellers.
- Der Hostname stimmt mit einem Common Name eines Wildcard-Zertifikats überein. Beispiel: www.beispiel.com stimmt mit dem Common Name *.beispiel.com überein.
- Der Hostname ist im Zertifikatsfeld „Subject Alternative Names“ aufgeführt.
In der Regel erfolgt der Abgleich, indem der TLS/SSL-Client den Namen des Servers, mit dem er verbunden ist, mit dem Common Name im Serverzertifikat vergleicht. Nutzer können davon ausgehen, dass alle TLS-Clients die Suche nach identischen Common Names unterstützen.
Sofern ein TLS-Zertifikat ein Feld mit Subject Alternative Names (SANs) enthält, sollen TLS-Clients den Wert „Common Name“ ignorieren und stattdessen in der SAN-Liste nach Übereinstimmungen suchen. Deshalb ist der Common Name in DigiCert-Zertifikaten immer auch an erster Stelle der SAN-Liste zu finden.
Welche TLS/SSL-Clients unterstützen Subject Alternative Names?
Subject Alternative Names und Wildcard-Zertifikate werden von den meisten Mobilgeräten unterstützt, alle jedoch unterstützen die Suche nach identischen Common Names.
Internet Explorer, Firefox, Opera, Safari und Netscape: Alle unterstützen Subject Alternative Names seit 2003. Bei Internet Explorer ist dies sogar schon seit Windows 98 der Fall.
Microsoft Edge: Der neueste Browser von Windows unterstützt Subject Alternative Names.
Windows Phone: Unterstützt den Abgleich von Subject Alternative Names und Wildcards.
Palm Treo neuerer Generation: Diese Geräte nutzen WM5, doch ältere Modelle laufen unter PalmOS und nutzen VersaMail für ActiveSync. Ältere Treos unterstützen den Abgleich von Subject Alternative Names nicht.
Neuere Smartphones mit Symbian: Das Betriebssystem Symbian unterstützt Subject Alternative Names ab Version 9.2.
Ältere Smartphones mit Symbian: Bis einschließlich Version 9.1 unterstützt das Betriebssystem Symbian den Abgleich von Subject Alternative Names nicht. Mit Symbian 9.2 (S60, 3. Edition, Feature Pack 1) wurde dieses Problem anscheinend gelöst.
Palm Treo älterer Generation: Diese Geräte laufen unter PalmOS und nutzen VersaMail für ActiveSync. Ältere Treos unterstützen den Abgleich von Subject Alternative Names nicht.
Da nicht alle Mobilgeräte das Feld für Subject Alternative Names unterstützen, ist es am sichersten, als Common Name den Namen zu wählen, den die meisten Mobilgeräte nutzen werden.