Поддомен — это часть основного домена, например, если основной домен example.uz, то blog.example.uz, shop.example.uz и admin.example.uz являются его поддоменами. Каждый поддомен работает как отдельный сайт и нуждается в собственном SSL сертификате. Если на поддомен не установлен сертификат, браузер покажет его как небезопасный и предупредит пользователя. Существует три основных способа решения этой задачи: Wildcard сертификат, Multi-Domain SAN сертификат и отдельные сертификаты для каждого поддомена.
Wildcard SSL сертификат
Wildcard сертификат — самый удобный и часто используемый вариант, если у вас много поддоменов. Он одним сертификатом покрывает основной домен и все его поддомены. В поле CN сертификата прописывается домен со звездочкой, например звездочка.example.uz, и эта звездочка работает вместо любого поддомена одного уровня. То есть он покрывает blog.example.uz, shop.example.uz, admin.example.uz и неограниченное количество других поддоменов. Однако Wildcard сертификат не покрывает многоуровневые поддомены, например для api.v2.example.uz понадобится отдельный сертификат.
Multi-Domain SAN сертификат
Subject Alternative Name или коротко SAN сертификат — это вариант, при котором один сертификат покрывает несколько конкретных доменов и поддоменов. Этот сертификат может объединять разные домены, например example.uz, anotherexample.com, blog.example.uz и shop.anotherexample.com. Обычно в SAN сертификат можно добавить до 100 доменов, некоторые провайдеры увеличивают это число до 250. Цена SAN сертификата зависит от количества добавленных доменов, но это гораздо дешевле, чем покупать отдельный сертификат для каждого домена.
Отдельные сертификаты и Let's Encrypt
Получение отдельного сертификата для каждого поддомена — самый гибкий, но технически требующий внимания вариант. Этот путь особенно подходит для бесплатных сертификатов Let's Encrypt, поскольку они автоматически обновляются и снижают сложность управления. Утилита Certbot получает отдельный сертификат для каждого поддомена и автоматически обновляет их. Преимущество этого подхода в том, что проблема на одном поддомене не влияет на остальные. Недостаток — при большом количестве поддоменов управление усложняется, и можно столкнуться с rate limit Let's Encrypt.
Какой вариант выбрать
Выбор зависит от множества факторов. Если у вас постоянно растущая и динамическая система поддоменов, например SaaS платформа или многопользовательский сервис, Wildcard сертификат — лучший вариант. Если у вас конкретный список нескольких разных доменов и некоторые из них не связаны между собой, подойдет SAN сертификат. Если у вас небольшой корпоративный сайт или сеть блогов и ограниченный бюджет, целесообразно получить бесплатный сертификат Let's Encrypt для каждого.
Практика Sayt.uz
Клиентам хостинга Sayt.uz бесплатно предоставляется Wildcard сертификат Let's Encrypt, который автоматически покрывает все поддомены. Коммерческие Wildcard сертификаты начинаются от 690 тысяч сум, SAN сертификаты — от 390 тысяч сум. В нашей панели каждый поддомен определяется автоматически и сертификат применяется немедленно, от клиента не требуется никаких дополнительных действий. 97 процентов клиентов завершают этот процесс за 5 минут. Консалтинг по сложным кросс-доменным конфигурациям от 79 тысяч сум.