Was ist ein "Subject Alternative Name" SSL - und warum ist es wichtig?

Ein Subject Alternative Name (SAN) ist ein Zertifikat, das mehrere Domänennamen, Subdomänen oder IP-Adressen schützt. Es ist eine Möglichkeit, Ihrem Webbrowser mitzuteilen, dass ein Zertifikat für mehrere Websites gilt.

Manche Leute nennen sie Unified Communications Certificates (UCC), Multi-Domain-Zertifikate oder Exchange-Zertifikate. Gleiche Sache, andere Namen. Sie alle haben die Aufgabe, mehrere Domänen unter einem Zertifikat zu sichern.

Ein häufiger Fehler ist die Annahme, dass CN und SAN das Gleiche sind. Das sind sie aber nicht.

• Der Common Name ist die primäre Domäne, die das Zertifikat schützt.

• Das SAN-Feld listet alle zusätzlichen Domänen oder Subdomänen auf, die ebenfalls von dem Zertifikat abgedeckt werden.

Der größte Vorteil von SAN-Zertifikaten? Die Einfachheit. Es verbessert die Verwaltung vonSSL durch Verbesserung der Grundfunktionen.

Anstatt Dutzende von separaten Zertifikaten in Ihrer Umgebung zu verfolgen, können Sie sie in einem einzigen Zertifikat zusammenfassen. Das bedeutet weniger Erneuerungen, weniger manuelle Nachverfolgung und ein geringeres Risiko, dass ein Zertifikat nicht abläuft - so kann Ihr Team ungeplante Ausfälle und Compliance-Probleme vermeiden.

Dies ist ein entscheidender Vorteil für große Unternehmen mit einer weitläufigen digitalen Präsenz und sorgt für konsistente Sicherheitsrichtlinien in allen Bereichen.

Es unterstützt auch die Skalierbarkeit für Organisationen, die neue digitale Dienste einführen oder Domains nach Fusionen und Übernahmen konsolidieren. Sie können bei der Erneuerung oder Neuausstellung einfach neue Domains zur SAN-Liste hinzufügen, anstatt separate Zertifikate zu verwalten. 

Wie SAN bei der Verwaltung von SSL funktioniert

Wenn ein Webbrowser eine Verbindung zu einer Website herstellt, prüft er das SSL , um sicherzustellen, dass die Domain mit einem der im SAN-Feld aufgeführten Namen übereinstimmt. 

Stellen Sie sich ein Unternehmen, ExampleCorp, vor, das mehrere Websites und Dienste unter verschiedenen Domänen besitzt:

1. examplecorp.com (Haupt-Website)
2. www.examplecorp.com (Gemeinsame Subdomain)
3. shop.examplecorp.com (E-Commerce-Portal)
4. support.examplecorp.com (Plattform für Kundenbetreuung)
5. examplecorp.net (Alternative Domain für internationale Benutzer)

Anstatt für jede Domäne separate SSL zu kaufen, kann ExampleCorp ein einziges SAN-fähiges Zertifikat erwerben, das alle diese Domänen abdeckt. Wenn Benutzer eine dieser Sites besuchen, prüft ihr Browser, ob die Domain im SAN ist und bestätigt eine sichere, verschlüsselte Verbindung.

Dies stärkt das Vertrauen der Nutzer: Besucher interagieren immer mit gesicherten Domänen, was besonders wichtig für E-Commerce- oder Kundendienstportale ist, die mit sensiblen Daten umgehen. Browser zeigen Sicherheitsindikatoren wie Vorhängeschlösser konsistenter über alle Subdomänen hinweg an, was die Verwirrung der Nutzer und die Zahl der Abbrüche verringert.

Auch die Einhaltung von Vorschriften wird dadurch vereinfacht. Viele Datenschutzbestimmungen und Industriestandards verlangen die Verschlüsselung von Daten bei der Übertragung. Durch die Abdeckung mehrerer Domänen mit einem SAN-Zertifikat können Unternehmen diese Anforderungen leichter erfüllen und bei Audits konsistente Sicherheitskontrollen nachweisen. Dies ist besonders hilfreich für regulierte Branchen, die eine Mischung aus internen Anwendungen mit Publikumsverkehr in verschiedenen Umgebungen betreiben. 

Hier sind weitere häufige Anwendungsfälle, die sich gut für SAN-Zertifikate eignen:

• Absicherung von www- und Nicht-Www-Versionen einer Domain
• Mailserver mit mehreren Domänen
• Lastausgleichende Webserver
• Mehrere interne Hostnamen/IPs

Beachten Sie, dass SAN eine Erweiterung innerhalb des X.509-Zertifikats ist. X.509 ist das Standardformat für Zertifikate mit öffentlichem Schlüssel, die bei der TLS verwendet werden. Alle SAN-Zertifikate sind also X.509-Zertifikate, aber nicht alle X.509-Zertifikate haben SAN-Erweiterungen.

Wie man ein SAN SSL erhält und verwaltet

Der Prozess der Erlangung und Verwaltung eines SAN-Zertifikats kann in 4 Schritte unterteilt werden: 

Schritt 1: Wählen Sie eine CA

Sobald Sie die Domains oder Subdomains festgelegt haben, die Sie mit einem SAN-Zertifikat abdecken möchten, besteht die erste Aufgabe darin, eine vertrauenswürdige Zertifizierungsstelle (CA) zu finden, die SAN-Zertifikate anbietet.

Bevor Sie sich für eine CA entscheiden, sollten Sie die Preise, die Validierungsanforderungen und die Anzahl der unterstützten SAN-Einträge prüfen.

Schritt 2: Einreichen eines CSR

Nun ist es an der Zeit, Ihre Zertifikatsanforderung (Certificate Signing Request, CSR) an die Zertifizierungsstelle zu übermitteln. Die CSR sollte Ihre primäre Domäne (Common Name) und alle anderen Domänen oder Unterdomänen enthalten, die Sie sichern möchten.

Sie können eine CSR leicht mit OpenSSL, einem webbasierten CSR-Generator oder Control Panels wie cPanel und Plesk erstellen. Nachdem Sie Ihre CSR erstellt haben, übermitteln Sie sie an die von Ihnen gewählte Zertifizierungsstelle. Dazu müssen Sie 

• Erwerben Sie zunächst ein SSL , das mehrere Domains unterstützt, und führen Sie bei Bedarf alle Schritte der Kontoregistrierung durch.
• Melden Sie sich dann im Portal der Zertifizierungsstelle an, gehen Sie zum Abschnitt SSL und wählen Sie die Option zum Einreichen Ihrer CSR. Sie können entweder die CSR-Datei (example.csr) hochladen oder den Inhalt in den bereitgestellten Texteditor einfügen.

Schritt 3: Überprüfung der CA-Eigentümerschaft

Im nächsten Schritt muss die Zertifizierungsstelle überprüfen, ob Sie die Domänen besitzen. Dazu gibt es im Wesentlichen drei Überprüfungsmethoden:

• E-Mail-Validierung: Die CA sendet eine Bestätigungs-E-Mail an eine Administrator-E-Mail-Adresse.
• DNS : Sie fügen einen TXT-Eintrag zu den DNS Ihrer Domäne hinzu.
• Dateibasierte Validierung: Sie laden eine bestimmte Datei in das Stammverzeichnis Ihrer Website hoch.

Sobald die Zertifizierungsstelle die CSR genehmigt hat, stellt sie das SAN-Zertifikat aus, das in der Regel das Primärzertifikat (example.crt) und ein Zwischenzertifikatsbündel (ca-bundle.crt) enthält.

Schritt 4: Implementierung auf Webservern

Nun ist es an der Zeit, das SAN-Zertifikat auf Ihren Servern zu installieren. Für Apache bedeutet dies, dass Sie die Zertifikate hochladen, die Datei ssl.conf bearbeiten und Apache neu starten müssen. Für Nginx ist der Vorgang ähnlich. Wenn Sie jedoch cPanel oder Plesk verwenden, gehen Sie einfach zu den TLS , laden das Zertifikat hoch und weisen es den Domänen zu.

Um die Installation zu überprüfen, können Sie Online-Tools wie SSL Labs oder Why No Padlock verwenden.

Nächste Schritte: Lassen Sie Ihre SAN-Zertifikate für Sie arbeiten

Der Kauf und die Installation von SAN-Zertifikaten sind nur der Anfang. Um Ihre Umgebung wirklich zu schützen und den größten Nutzen daraus zu ziehen, müssen Sie sie konsequent und sicher verwalten.

So bleiben Sie auf der Höhe der Zeit:

• Bewerten Sie Ihre TLS - Stellen Sie sicher, dass sie mit Ihrer aktuellen Domainstruktur und Ihren Sicherheitsrichtlinien übereinstimmt.

• Automatisieren Sie die Verwaltung des Lebenszyklus von SAN-Zertifikaten - Tools wie Keyfactor Command helfen Ihnen dabei, ablaufende Zertifikate zu verfolgen, Warnungen zu versenden und kostspielige Ausfälle zu vermeiden.

• Verwenden Sie bei der Erneuerung neue CSRs - so bleibt das kryptografische Material auf dem neuesten Stand und das Risiko einer Kompromittierung wird verringert.

• Überprüfen und aktualisieren Sie die Domäneneinträge regelmäßig - Entfernen Sie ungenutzte Domänen, um die Sicherheit zu erhöhen und sicherzustellen, dass die Zertifikate Ihre aktuelle Infrastruktur widerspiegeln.

Proaktives Handeln verhindert unerwartete Ausfälle, die mehrere Dienste auf einmal beeinträchtigen könnten. Mit der richtigen Strategie verwandeln Sie Ihre SAN-Zertifikate in eine Stärke und nicht in eine Schwachstelle.