Un Subject Alternative Name (SAN) est un certificat qui sécurise plusieurs noms de domaine, sous-domaines ou adresses IP. C'est un moyen d'indiquer à votre navigateur web qu'un certificat fonctionne pour plusieurs sites.
Certains les appellent certificats de communications unifiées (UCC), certificats multi-domaines ou certificats Exchange. C'est la même chose, mais avec des noms différents. Ils permettent tous de sécuriser plusieurs domaines sous un seul certificat.
Une erreur fréquente consiste à penser que le CN et le SAN sont la même chose. Ce n'est pas le cas.
-
Le nom commun est le domaine primaire que le certificat protège.
-
Le champ SAN répertorie tous les domaines ou sous-domaines supplémentaires également couverts par le certificat.
Le plus grand avantage des certificats SAN ? La simplicité. Ils améliorent la gestion des certificatsSSL en améliorant les fonctions de base.
Au lieu de suivre des dizaines de certificats distincts dans votre environnement, vous pouvez les regrouper sous un seul certificat. Cela signifie moins de renouvellements, moins de suivi manuel et moins de risques d'expiration manquée, ce qui permet à votre équipe d'éviter les pannes imprévues et les problèmes de conformité.
Cela change la donne pour les grandes entreprises dont l'empreinte numérique est tentaculaire et permet de maintenir des politiques de sécurité cohérentes dans tous les domaines.
Il permet également aux organisations de lancer de nouveaux services numériques ou de consolider des domaines après des fusions et des acquisitions. Il suffit d'ajouter de nouveaux domaines à la liste SAN lors d'un renouvellement ou d'une réédition, plutôt que de gérer des certificats distincts.
Fonctionnement du SAN dans la gestion des certificats SSL
Lorsqu'un navigateur web se connecte à un site, il vérifie le certificat SSL pour s'assurer que le domaine correspond à l'un des noms répertoriés dans le champ SAN.
Imaginons une entreprise, ExampleCorp, qui possède plusieurs sites web et services sous différents domaines :
- examplecorp.com (Site web principal)
- www.examplecorp.com (Sous-domaine commun)
- shop.examplecorp.com (portail de commerce électronique)
- support.examplecorp.com (Plate-forme d'assistance à la clientèle)
- examplecorp.net (domaine alternatif pour les utilisateurs internationaux)
Au lieu d'acheter des certificats SSL distincts pour chaque domaine, ExampleCorp peut obtenir un certificat SAN unique qui couvre tous ces domaines. Lorsque les utilisateurs visitent l'un de ces sites, leur navigateur vérifie si le domaine fait partie du SAN et confirme une connexion sécurisée et cryptée.
La confiance des utilisateurs s'en trouve renforcée : les visiteurs interagissent toujours avec des domaines sécurisés, ce qui est particulièrement important pour les portails de commerce électronique ou de service à la clientèle qui traitent des données sensibles. Les navigateurs affichent des indicateurs de sécurité tels que des cadenas de manière plus cohérente dans tous les sous-domaines, ce qui réduit la confusion et l'abandon des utilisateurs.
Il permet également de rationaliser les efforts de mise en conformité. De nombreuses réglementations sur la confidentialité des données et normes industrielles exigent le cryptage des données en transit. En couvrant plusieurs domaines à l'aide d'un seul certificat SAN, les entreprises peuvent répondre plus facilement à ces exigences et démontrer la cohérence des contrôles de sécurité lors des audits. Ceci est particulièrement utile pour les industries réglementées qui exploitent un mélange d'applications internes tournées vers le public dans différents environnements.
Voici d'autres cas d'utilisation courants qui se prêtent bien aux certificats SAN :
- Sécuriser les versions www et non-www d'un domaine
- Serveurs de messagerie avec plusieurs domaines
- Serveurs web à charge équilibrée
- Plusieurs noms d'hôtes/IP internes
Notez que SAN est une extension du certificat X.509. X.509 est le format standard des certificats de clé publique utilisés pour le cryptage TLS . Ainsi, tous les certificats SAN sont des certificats X.509, mais tous les certificats X.509 n'ont pas d'extension SAN.
Comment obtenir et gérer un certificat SSL SAN
Le processus d'obtention et de gestion d'un certificat SAN peut être regroupé en quatre étapes :
Étape 1 : Choisir une autorité de certification
Une fois que vous avez déterminé les domaines ou sous-domaines que vous souhaitez couvrir avec un certificat SAN, la première tâche consiste à choisir une autorité de certification (AC) de confiance qui propose des certificats SAN.
Avant de choisir une autorité de certification, vérifiez ses tarifs, ses exigences en matière de validation et le nombre d'entrées SAN qu'elle prend en charge.
Étape 2 : Soumettre un RSE
Il est maintenant temps de soumettre votre demande de signature de certificat (CSR) à l'autorité de certification. La CSR doit inclure votre domaine principal (nom commun) et tous les autres domaines ou sous-domaines que vous souhaitez sécuriser.
Vous pouvez facilement générer une CSR en utilisant OpenSSL, un générateur de CSR en ligne ou des panneaux de contrôle tels que cPanel et Plesk. Après avoir créé votre CSR, soumettez-la à l'autorité de certification de votre choix. Pour ce faire
- Tout d'abord, achetez un certificat SSL SAN qui prend en charge plusieurs domaines, et complétez les étapes d'enregistrement du compte si nécessaire.
- Ensuite, connectez-vous au portail de l'autorité de certification, allez dans la section du certificat SSL et choisissez l'option pour soumettre votre CSR. Vous pouvez soit télécharger le fichier CSR (exemple.csr), soit coller le contenu dans l'éditeur de texte fourni.
Étape 3 : Vérification de la propriété de l'AC
L'étape suivante consiste pour l'autorité de certification à vérifier que vous êtes propriétaire des domaines. Pour ce faire, elle utilise trois méthodes de validation principales :
- Validation par courriel : L'autorité de certification envoie un courriel de vérification à l'adresse électronique de l'administrateur.
- Validation DNS : Vous ajoutez un enregistrement TXT aux paramètres DNS de votre domaine.
- Validation par fichier : Vous téléchargez un fichier spécifique dans le répertoire racine de votre site.
Une fois que l'autorité de certification a approuvé la RSC, elle émet le certificat SAN, qui comprend généralement le certificat principal (example.crt) et un ensemble d'autorités de certification intermédiaires (ca-bundle.crt).
Étape 4 : Mise en œuvre sur les serveurs web
Il est maintenant temps d'installer le certificat SAN sur vos serveurs. Pour Apache, il s'agit de télécharger les certificats, de modifier le fichier ssl.conf et de redémarrer Apache. Le processus est similaire pour Nginx. Mais si vous utilisez cPanel ou Plesk, il vous suffit d'aller dans les paramètres TLS , de télécharger le certificat et de l'affecter aux domaines.
Pour vérifier l'installation, vous pouvez utiliser des outils en ligne tels que SSL Labs ou Why No Padlock.
Prochaines étapes : Faites en sorte que vos certificats SAN continuent de fonctionner pour vous
L'achat et l'installation de certificats SAN ne sont qu'un début. Pour protéger véritablement votre environnement et en tirer le meilleur parti, vous devez les gérer de manière cohérente et sécurisée.
Voici comment garder une longueur d'avance :
-
Évaluez votre stratégie en matière de certificats TLS - Assurez-vous qu'elle correspond à la structure actuelle de votre domaine et à vos politiques de sécurité.
-
Automatiser la gestion du cycle de vie des certificats SAN - Outils tels que Keyfactor Command vous aident à suivre les expirations, à envoyer des alertes et à éviter les pannes coûteuses.
-
Utiliser des CSR fraîches lors du renouvellement - Cela permet de maintenir le matériel cryptographique à jour et de réduire le risque de compromission.
-
Examinez et mettez à jour régulièrement les entrées de domaine - Supprimez les domaines inutilisés pour renforcer la sécurité et vous assurer que les certificats reflètent votre infrastructure actuelle.
En restant proactif, vous évitez les défaillances inattendues qui pourraient avoir un impact sur plusieurs services à la fois. Avec la bonne stratégie, vous ferez de vos certificats SAN une force et non une vulnérabilité.
