¿Qué es un certificado multidominio (SAN)?
Al solicitar o emitir un nuevo certificado TLS/SSL, existe un campo del nombre alternativo del sujeto que permite especificar nombres de host adicionales (sitios, direcciones IP, nombres comunes, etc.) que se protegerán con un solo certificado TLS/SSL, como por ejemplo un certificado multidominio (SAN) o un certificado multidominio con validación extendida (EV).
La extensión del nombre alternativo del sujeto (Subject Alternative Name) formaba parte del estándar de certificados X.509 antes de 1999, pero no se empezó a utilizar de forma habitual hasta el lanzamiento de Microsoft Exchange Server 2007. Este cambio resultó útil porque simplificaba las configuraciones de los servidores. Ahora, los nombres alternativos del sujeto se utilizan ampliamente para entornos o plataformas que necesitan proteger varios nombres de sitios web en diferentes dominios y subdominios.
¿Para qué sirven los nombres alternativos del sujeto (SAN)?
Existen tres formas principales de utilizar los nombres alternativos del sujeto (SAN):
- Proteger nombres de host en diferentes dominios base desde un único certificado TLS/SSL: un certificado comodín puede proteger todos los subdominios de primer nivel de un dominio completo, como *.ejemplo.com. Sin embargo, no puede proteger a la vez www.ejemplo.com y www.ejemplo.net.
- Alojar virtualmente varios sitios TLS/SSL en una sola dirección IP: para alojar varios sitios habilitados para TLS/SSL en un solo servidor se suele necesitar una dirección IP única por sitio, pero un certificado multidominio (SAN) con nombres alternativos del sujeto puede resolver este problema. Tanto Microsoft IIS como Apache pueden alojar virtualmente sitios HTTPS utilizando certificados multidominio (SAN).
- Simplificar en gran medida la configuración TLS/SSL del servidor: el uso de un certificado multidominio (SAN) le ahorra la molestia y el tiempo que supone configurar varias direcciones IP en el servidor, vincular cada dirección IP a un certificado diferente e intentar integrarlo todo.
¿Dónde puedo ver cómo se utilizan los nombres alternativos del sujeto?
Si desea ver un ejemplo de nombre alternativo del sujeto, en la barra de direcciones de esta página, haga clic en el candado del navegador para consultar nuestro certificado TLS/SSL. En los detalles del certificado, encontrará una extensión de nombre alternativo del sujeto que incluye tanto www.digicert.com/es como digicert.com, además de algunos SAN adicionales protegidos por nuestro certificado. Como el nombre «digicert.com» aparece en nuestro certificado, su navegador no emitirá ninguna advertencia si visita nuestro sitio en https://digicert.com/es, sin «www».
¿Cómo utilizan los navegadores el campo del nombre alternativo del sujeto en un certificado TLS/SSL?
Cuando los navegadores se conectan a su servidor por HTTPS, comprueban que su certificado TLS/SSL coincida con el nombre de host de la barra de direcciones.
Hay tres formas de que los navegadores encuentren una coincidencia:
- El nombre del host (en la barra de direcciones) coincide exactamente con el nombre común del sujeto del certificado.
- El nombre del host coincide con un nombre común comodín. Por ejemplo, www.ejemplo.com coincide con el nombre común *.ejemplo.com.
- El nombre del host aparece en el campo del nombre alternativo del sujeto.
La forma más común de coincidencia de nombres TLS/SSL es que el cliente TLS/SSL compare el nombre del servidor al que se ha conectado con el nombre común del certificado del servidor. Con toda probabilidad, todos los clientes TLS admitirán la coincidencia exacta de nombres comunes.
Si un certificado TLS tiene un campo del nombre alternativo del sujeto (SAN), se supone que los clientes TLS ignorarán el valor del nombre común y buscarán una coincidencia en la lista SAN. Esta es la razón por la que DigiCert siempre repite el nombre común como primer SAN en nuestros certificados.
¿Qué clientes TLS/SSL admiten nombres alternativos del sujeto?
La mayoría de los dispositivos móviles admiten nombres alternativos del sujeto y certificados comodines, pero todos admiten la coincidencia exacta de nombres comunes.
Internet Explorer, Firefox, Opera, Safari y Netscape: todos admiten los nombres alternativos del sujeto desde 2003. De hecho, Internet Explorer los admite desde Windows 98.
Microsoft Edge: el navegador más reciente de Microsoft admite nombres alternativos del sujeto.
Windows Phone: admite nombres alternativos del sujeto y la coincidencia con comodines.
Palm Treo más recientes: estos dispositivos utilizan WM5, pero los más antiguos ejecutan PalmOS y utilizan VersaMail para ActiveSync. Los Treo más antiguos no admiten la coincidencia de nombres alternativos del sujeto.
Nuevos teléfonos inteligentes con Symbian OS: Symbian OS admite nombres alternativos del sujeto a partir de la versión 9.2.
Teléfonos inteligentes antiguos con Symbian OS: Symbian OS 9.1 y las versiones anteriores no admiten la coincidencia de nombres alternativos del sujeto. Esto parece estar resuelto en Symbian OS 9.2 (S60 3.ª Edición, Feature Pack 1).
Palm Treo antiguos: estos dispositivos funcionan con PalmOS y utilizan VersaMail para ActiveSync. Estos Treo más antiguos no admiten la coincidencia de nombres alternativos del sujeto.
Dado que no todos los dispositivos móviles admiten el campo del nombre alternativo del sujeto, lo más seguro es configurar el nombre común de manera que coincida con el nombre que utilizarán la mayoría de los dispositivos móviles.