Un certificat SAN (Subject Alternative Name) est un type de certificat SSL qui permet de protéger plusieurs noms de domaine, sous-domaines ou adresses IP avec un seul et même certificat. C’est une solution idéale pour les organisations qui gèrent plusieurs sites web ou applications en parallèle. Au lieu d’acheter un certificat différent pour chaque domaine, vous simplifiez votre infrastructure de sécurité tout en réduisant vos coûts de gestion et de renouvellement.
Qu’est-ce qu’un certificat SAN ?
Un certificat SAN est une extension du standard X.509, le format utilisé pour tous les certificats SSL/TLS modernes. Le Subject Alternative Name est un champ spécifique qui liste les identités supplémentaires protégées par le certificat, au-delà du simple nom de domaine principal (appelé Common Name ou CN).
Ce champ peut contenir des domaines entiers, des sous-domaines, des adresses IP ou même des adresses électroniques. Par exemple, un seul certificat SAN peut protéger à la fois example.com, www.example.com, blog.example.com et même un serveur d’adresses IP comme 203.0.113.5.
Depuis 2018, tous les certificats SSL/TLS émis par les autorités de certification de confiance sont techniquement des certificats SAN. Même un certificat qui ne protège qu’un seul domaine utilise l’extension SAN pour inclure ce domaine. Les navigateurs modernes se fient exclusivement au champ SAN pour vérifier la validité du certificat, en ignorant le champ CN historique.
Pourquoi utiliser un certificat SAN plutôt qu’un certificat traditionnel ?
L’avantage principal d’un certificat SAN réside dans son efficacité de gestion. Avec un certificat classique, vous devez acheter, valider, installer et renouveler un certificat pour chaque domaine. Un certificat SAN consolide cette complexité en une seule opération.
Par exemple, une entreprise possédant example.com, example.net, example.org, product.example.com et support.example.net n’aurait plus besoin d’acheter et de maintenir cinq certificats différents. Un seul certificat SAN suffit à les protéger tous. Lors du renouvellement annuel du certificat, vous effectuez une seule action au lieu de cinq.
Sur le plan financier, cette consolidation réduit les coûts d’achat puisqu’un certificat multi-domaine coûte généralement moins cher qu’acheter plusieurs certificats individuels. Elle diminue aussi l’impact administratif : moins de dates d’expiration à surveiller, moins de processus d’installation et de renouvellement à gérer.
De plus, un certificat SAN améliore l’expérience utilisateur. Les visiteurs voient le cadenas de sécurité dans la barre d’adresse quel que soit le domaine ou sous-domaine visité, ce qui renforce la confiance, particulièrement important pour les sites e-commerce ou les portails d’accès à des données sensibles.
SAN, certificats multi-domaines et certificats wildcard : quelles différences ?
Ces trois termes désignent des types de certificats distincts, bien qu’ils soient souvent confondus.
Un certificat SAN multi-domaine protège plusieurs domaines spécifiques listés individuellement. Vous devez déclarer chaque domaine : example.com, blog.example.com, support.example.net, etc. Si vous oubliez un domaine lors de l’achat, il n’est pas couvert. Vous pouvez cependant ajouter ou supprimer des domaines lors du renouvellement du certificat.
Un certificat wildcard protège un domaine unique et tous ses sous-domaines de premier niveau de manière automatique. Par exemple, *.example.com couvre www.example.com, blog.example.com et shop.example.com, mais aussi tout nouveau sous-domaine créé à l’avenir sans action supplémentaire. Cependant, un wildcard ne protège qu’un seul domaine : il ne couvre pas example.net ou example.org.
Certains certificats combinent les deux approches. Un certificat SAN wildcard peut lister plusieurs domaines avec chacun son wildcard (par exemple *.example.com, *.example.net), offrant flexibilité maximale mais généralement disponible seulement aux niveaux de validation DV et OV (pas EV).
La limite théorique d’un certificat SAN est très élevée : les autorités de certification modernes supportent jusqu’à 2 000 domaines sur un seul certificat, bien que les limites pratiques dépendent de votre prestataire.
Les trois niveaux de validation des certificats SAN
Avant d’acheter un certificat SAN, vous devez choisir son niveau de validation. Ce choix dépend de la sensibilité de vos données et du niveau de confiance que vous souhaitez établir.
La validation de domaine (DV) est le niveau le plus basique. L’autorité de certification vérifie uniquement que vous possédez le domaine, via un email, un enregistrement DNS ou un fichier HTTP. Elle est émise rapidement, souvent en quelques minutes, et coûte peu cher. Elle convient aux blogs personnels, aux sites informationnels ou aux applications non critiques.
La validation d’organisation (OV) va plus loin. Outre la propriété du domaine, l’autorité de certification vérifie l’existence légale et l’identité de votre organisation. Ces informations apparaissent dans les détails du certificat visible dans la barre d’adresse. L’émission prend quelques jours. C’est le choix idéal pour les sites professionnels, les API publiques et les applications destinées au grand public.
La validation étendue (EV) est le niveau le plus rigoureux. L’autorité effectue un audit complet de votre entreprise : vérification de votre siège social, analyse des documents officiels, vérification légale. Autrefois, l’EV affichait le nom de l’entreprise directement dans la barre d’adresse du navigateur, créant une « barre verte ». Aujourd’hui, le bénéfice visuel a diminué car les navigateurs l’affichent moins, mais elle reste essentielle pour les secteurs régulés comme la finance, l’e-commerce sensible ou les institutions gouvernementales.
Important à noter : tous les niveaux de validation (DV, OV, EV) peuvent être obtenus sous forme de certificat SAN. Seul le certificat EV wildcard n’existe pas pour des raisons de sécurité.
Cas d’usage pratiques des certificats SAN
Les certificats SAN brillent dans plusieurs scénarios réels.
Les entreprises multi-marques les utilisent pour protéger plusieurs domaines commerciaux sous une seule administration. Chaque marque conserve son domaine distinct, mais l’infrastructure SSL est unifiée.
Les serveurs de messagerie Microsoft Exchange et Office 365 en dépendent. Microsoft recommande d’utiliser des certificats SAN (appelés Unified Communications Certificates dans ce contexte) pour couvrir mail.example.com, autodiscover.example.com, smtp.example.net, et les noms internes comme exchange.local.
Les applications avec load balancing utilisent des certificats SAN lorsqu’un serveur unique doit gérer plusieurs noms de domaine ou lorsque plusieurs serveurs doivent partager le même certificat pour les domaines www et non-www d’un même site (example.com et www.example.com).
Les environnements internes ou de staging peuvent utiliser des certificats SAN pour sécuriser tous les sous-domaines dev.local, test.local, etc., bien qu’il faut noter que les autorités publiques ne délivrent plus de certificats contenant des noms internes non-routable comme localhost.
Comment obtenir et installer un certificat SAN ?
L’obtention d’un certificat SAN suit quatre grandes étapes.
Première étape : choisir une autorité de certification (CA). Des centaines d’autorités proposent des certificats SAN. Les plus connues incluent DigiCert, Sectigo, Comodo, Let’s Encrypt (gratuit), GeoTrust et Thawte. Comparez les prix, les limites de domaines supportés, les vitesses d’émission et le support client avant de choisir.
Deuxième étape : générer et soumettre une demande de signature de certificat (CSR). La CSR est un fichier texte contenant votre domaine principal, la liste complète de vos domaines SAN (par exemple www.example.com, blog.example.com, support.example.net, 203.0.113.5), votre localisation géographique et vos détails d’organisation. Vous générez cette CSR avec OpenSSL, un générateur web, ou via des panneaux de contrôle comme cPanel ou Plesk. Vous la soumettez ensuite au portail de l’autorité de certification.
Troisième étape : validation de propriété. L’autorité de certification vous demande de prouver que vous possédez chaque domaine listé. Elle propose trois méthodes : validation par email (un lien de confirmation envoyé à un administrateur du domaine), validation DNS (ajout d’un enregistrement TXT provisoire dans vos paramètres DNS), ou validation par fichier (téléchargement d’un fichier spécifique à la racine de votre serveur web). Une fois validé, l’autorité émet votre certificat SAN.
Quatrième étape : installation. Vous téléchargez le certificat (.crt) et le fichier de chaîne intermédiaire (.ca-bundle.crt) fournis par l’autorité, puis les installez sur votre serveur. Sur Apache, cela implique d’éditer la configuration SSL et de redémarrer le service. Sur Nginx, la procédure est similaire. Sur les panneaux cPanel ou Plesk, il suffit de coller le certificat dans l’interface et de l’assigner aux domaines concernés.
Pour vérifier que tout fonctionne, utilisez des outils en ligne comme SSL Labs ou Why No Padlock en testant chacun de vos domaines SAN.
À retenir
- Un certificat SAN protège plusieurs domaines avec un seul certificat. Au lieu d’en acheter un par domaine, vous consolidez votre infrastructure SSL et réduisez vos coûts administratifs et financiers.
- Les certificats SAN sont aujourd’hui la norme. Tous les certificats SSL modernes utilisent l’extension SAN ; il n’existe plus vraiment de certificat « non-SAN » délivré par les autorités de confiance.
- Trois niveaux de validation existent : DV (rapide et bon marché), OV (vérifie l’organisation) et EV (audit complet). Choisissez selon la sensibilité de vos données et votre secteur d’activité.
- Les certificats SAN sont flexibles. Vous pouvez ajouter ou supprimer des domaines lors du renouvellement sans acheter un nouveau certificat entièrement.
- Les certificats wildcard et SAN répondent à des besoins différents. Un wildcard couvre tous les sous-domaines d’un domaine unique ; un SAN multi-domaine liste des domaines spécifiques, y compris des domaines complètement différents.
Questions fréquemment posées
Combien de domaines puis-je protéger avec un seul certificat SAN ?
La plupart des autorités de certification modernes supportent jusqu’à 2 000 domaines ou sous-domaines sur un seul certificat SAN. Cependant, il est rare d’en atteindre les limites. Des certificats avec 5, 50 ou 250 domaines SAN sont plus courants. Vérifiez auprès de votre prestataire les limites spécifiques et les éventuels surcoûts au-delà d’un certain nombre.
Un certificat SAN est-il aussi sûr qu’un certificat unique ?
Oui. Un certificat SAN respecte les mêmes standards de chiffrement et d’authentification qu’un certificat traditionnel. Il utilise la même technologie RSA ou ECDSA pour sécuriser les connexions. Sa sécurité dépend de sa configuration correcte, du renouvellement à temps et du choix d’un niveau de validation approprié.
Puis-je ajouter un domaine à mon certificat SAN après son achat ?
Non, pas directement. Une fois émis, un certificat SAN est figé. Si vous souhaitez ajouter un domaine, vous devez demander une réémission (reissuance) du certificat auprès de votre autorité. Cette opération est généralement gratuite ou peu coûteuse si effectuée avant l’expiration du certificat original. Planifiez donc soigneusement votre liste de domaines SAN dès l’achat, en incluant les sous-domaines futurs prévus.
Conclusion
Les certificats SAN SSL incarnent un équilibre pratique entre sécurité, flexibilité et économie. Pour toute organisation gérant plusieurs domaines ou applications, passer d’une multitude de certificats individuels à un certificat SAN consolidé simplifie l’administration, réduit les oublis de renouvellement et libère des ressources dédiées à d’autres priorités. Avant votre prochain achat de certificat SSL, évaluez sérieusement si un certificat SAN n’est pas l’option la plus adaptée à votre infrastructure actuelle et future.