Un Subject Alternative Name (SAN) es un certificado que protege varios nombres de dominio, subdominios o direcciones IP. Es una forma de indicar al navegador web que un certificado sirve para varios sitios.
Algunos los llaman certificados de comunicaciones unificadas (UCC), certificados multidominio o certificados Exchange. Es lo mismo, pero con distintos nombres. Todos ellos sirven para proteger varios dominios bajo un mismo certificado.
Un error común es suponer que CN y SAN son lo mismo. No lo son.
-
El nombre común es el dominio primario que protege el certificado.
-
El campo SAN enumera todos los dominios o subdominios adicionales también cubiertos por el certificado.
¿La mayor ventaja de los certificados SAN? La sencillez. Mejora la gestión de certificadosSSL mejorando las funciones básicas.
En lugar de realizar el seguimiento de docenas de certificados distintos en todo su entorno, puede consolidarlos en un único certificado. Esto se traduce en menos renovaciones, menos seguimiento manual y un menor riesgo de que no caduquen, lo que ayuda a su equipo a evitar interrupciones imprevistas y problemas de cumplimiento.
Esto cambia las reglas del juego para las grandes empresas con huellas digitales en expansión y mantiene la coherencia de las políticas de seguridad en todos los dominios.
También admite la escalabilidad para organizaciones que lanzan nuevos servicios digitales o consolidan dominios tras fusiones y adquisiciones. Basta con añadir nuevos dominios a la lista SAN durante la renovación o reemisión, en lugar de gestionar certificados independientes.
Cómo funciona SAN en la gestión de certificados SSL
Cuando un navegador web se conecta a un sitio, comprueba el certificado SSL para asegurarse de que el dominio coincide con uno de los nombres indicados en el campo SAN.
Imagine una empresa, ExampleCorp, que posee múltiples sitios web y servicios bajo diferentes dominios:
- examplecorp.com (Sitio web principal)
- www.examplecorp.com (Subdominio común)
- shop.examplecorp.com (Portal de comercio electrónico)
- support.examplecorp.com (Plataforma de atención al cliente)
- examplecorp.net (Dominio alternativo para usuarios internacionales)
En lugar de comprar certificados SSL independientes para cada dominio, ExampleCorp puede obtener un único certificado habilitado para SAN que cubra todos estos dominios. Cuando los usuarios visitan cualquiera de estos sitios, su navegador comprueba si el dominio está en la SAN y confirma una conexión segura y cifrada.
Esto mejora la confianza del usuario: los visitantes siempre están interactuando con dominios seguros, lo que es especialmente importante para los portales de comercio electrónico o de atención al cliente que manejan datos sensibles. Los navegadores muestran indicadores de seguridad como candados de forma más coherente en todos los subdominios, lo que reduce la confusión y el abandono de los usuarios.
También agiliza el cumplimiento de la normativa. Muchas normativas sobre privacidad de datos y estándares industriales exigen el cifrado de los datos en tránsito. Al abarcar varios dominios bajo un certificado SAN, las organizaciones pueden cumplir estos requisitos más fácilmente y demostrar la coherencia de los controles de seguridad durante las auditorías. Esto es especialmente útil para los sectores regulados que utilizan una combinación de aplicaciones internas de cara al público en distintos entornos.
He aquí otros casos de uso comunes muy adecuados para los certificados SAN:
- Proteger las versiones www y no www de un dominio
- Servidores de correo con varios dominios
- Servidores web de carga equilibrada
- Múltiples nombres de host/IP internos
Tenga en cuenta que SAN es una extensión dentro del certificado X.509. X.509 es el formato estándar para los certificados de clave pública utilizados en el cifrado TLS . Por lo tanto, todos los certificados SAN son certificados X.509, pero no todos los certificados X.509 tienen extensiones SAN.
Cómo obtener y gestionar un certificado SSL SAN
El proceso de obtención y gestión de un certificado SAN puede agruparse en 4 pasos, que son los siguientes
Paso 1: Elegir una CA
Una vez que haya determinado los dominios o subdominios que desea cubrir con un certificado SAN, la primera tarea es elegir una autoridad de certificación (CA) de confianza que ofrezca certificados SAN.
Antes de decidirse por una CA, asegúrese de comprobar el precio, los requisitos de validación y el número de entradas SAN que admiten.
Paso 2: Presentar un CSR
Ahora es el momento de enviar la solicitud de firma de certificado (CSR) a la CA. La CSR debe incluir su dominio principal (nombre común) y cualquier otro dominio o subdominio que desee proteger.
Puede generar fácilmente una CSR utilizando OpenSSL, un generador de CSR basado en web o paneles de control como cPanel y Plesk. Una vez creada la CSR, envíela a la CA que haya elegido. Para ello
- En primer lugar, adquiera un certificado SSL SAN que admita varios dominios y, si es necesario, complete los pasos de registro de la cuenta.
- A continuación, inicie sesión en el portal de la CA, vaya a la sección de SSL SSL y elija la opción para enviar su CSR. Puede cargar el archivo CSR (example.csr) o pegar el contenido en el editor de texto proporcionado.
Paso 3: Verificación de la titularidad de la CA
El siguiente paso es que la CA verifique que usted es el propietario de los dominios. Para ello utilizan tres métodos de validación principales:
- Validación por correo electrónico: La CA envía un correo electrónico de verificación a una dirección de correo electrónico de administrador.
- Validación DNS : Añade un registro TXT a la configuración DNS de tu dominio.
- Validación basada en archivos: Usted carga un archivo específico en el directorio raíz de su sitio.
Una vez que la CA apruebe la CSR, emitirá el certificado SAN, que normalmente incluye el certificado principal (example.crt) y un paquete de CA intermedia (ca-bundle.crt).
Paso 4: Implementación en servidores web
Ahora, es el momento de instalar el certificado SAN en sus servidores. Para Apache, esto implica subir los certificados, editar el archivo ssl.conf y reiniciar Apache. El proceso es similar para Nginx. Pero si estás usando cPanel o Plesk, sólo tienes que ir a la configuración TLS , subir el certificado y asignarlo a los dominios.
Para verificar la instalación, puede utilizar herramientas en línea como SSL Labs o Why No Padlock.
Pasos siguientes: Mantenga sus certificados SAN trabajando para usted
Comprar e instalar certificados SAN es sólo el principio. Para proteger realmente su entorno y obtener el máximo valor, debe gestionarlos de forma coherente y segura.
He aquí cómo ir por delante:
-
Evalúe su estrategia de certificados TLS : asegúrese de que se ajusta a su estructura de dominios y políticas de seguridad actuales.
-
Automatice la gestión del ciclo de vida de los certificados SAN - Herramientas como Keyfactor Command le ayudan a realizar un seguimiento de los vencimientos, enviar alertas y evitar costosas interrupciones.
-
Utilice CSR nuevos durante la renovación: esto mantiene actualizado el material criptográfico y reduce el riesgo de compromiso.
-
Revise y actualice periódicamente las entradas de dominios: elimine los dominios que no utilice para reforzar la seguridad y garantizar que los certificados reflejen su infraestructura actual.
Mantenerse proactivo evita fallos inesperados que podrían afectar a varios servicios a la vez. Con la estrategia adecuada, convertirá sus certificados SAN en un punto fuerte, no en una vulnerabilidad.
