Braucht man für jede Domain ein eigenes SSL-Zertifikat?

Die Einbindung eines SSL-Zertifikates ist eine wirksame Methode zur Verschlüsselung des Datenverkehrs einer Website. Ein einzelnes Zertifikat wird in der Regel für eine bestimmte Domain bzw. IP-Adresse ausgestellt. Werden mehrere Webprojekte mit unterschiedlichen IPs verwaltet, bietet sich ein Multi-Domain SSL Zertifikat an, um Kosten und Wartungsaufwand zu sparen.

Welche Möglichkeiten es gibt, mehrere Domains mit einem einzigen Singel-Domain SSL Zertifikat zu schützen, zeigt der folgende Beitrag.

Wie ein SSL-Zertifikat funktioniert

Um ein SSL-Zertifikat auf einem Server zu installieren, muss der Website-Betreiber zunächst eine Zertifizierungsanforderung (CSR) stellen. Dabei handelt es sich um eine kleine Textdatei, die den öffentlichen Schlüssel sowie bestimmte Daten über die zu verschlüsselnde Domain und deren Inhaber enthält.

Der Website-Betreiber schickt die CSR an eine Zertifizierungstselle (CA) und stellt damit einen Antrag auf ein SSL-Zertifikat für die eingetragene Domain. Diese prüft die Identität des Antragstellers und stellt das SSL-Zertifikat aus, wenn die Daten korrekt sind. Nachdem der Antragsteller das Zertifikat auf seinem Server installiert hat, ist die Verschlüsselung für die entsprechende Domain aktiv.

Wenn mehrere Websites unterhalten werden, müsste dieser Vorgang für jedes Einzel-Domain-Zertifikat wiederholt werden. Da dies mit erheblichem Aufwand und möglicherweise hohen Kosten verbunden wäre, können mehrere Domains auch mit einem einzigen Multi-Domain-Zertifikat gesichert werden. Dafür stehen verschiedene Optionen zur Verfügung.

Mehrere Subdomains mit einem SSL-Zertifikat sichern

Wie oben bereits gezeigt, wird ein SSL-Zertifikat auf einen Fully Qualified Domain Name (FQDN) ausgestellt.

Das heißt, dass der Domainname im Zertifikat vollständig aufgeführt ist. In einem Einzel-Domain-Zertifikat hat die URL diese Form:

www.beispieldomain.deMit einem Wildcard-Zertifikat können unendlich viele Subdomains verschlüsselt werden. Der Domainname wird dann wie folgt eingetragen:

*.beispieldomain.de

Das "*" steht für beliebige Third-Level-Domainnamen. Die Verschlüsselung des Zertifikats ist automatisch für jede beliebige Subdomain aktiv. Es sind keine nachträglichen manuellen Eintragungen erforderlich.

Mehrere FQDNs mit einem SSL-Zertifikat sichern

UCC-Zertifikate

UCC steht für Unified Communications Certificates. Diese Zertifikate erlauben es, eine Vielzahl von Domainnamen innerhalb einer Second-Level-Domain zu verschlüsseln.

In der CSR können also mehrere Domainnamen wie

• www.beispieldomain.de
• www.beispieldomain.net
• shop.beispieldomain.de
• en.beispieldomain.com

aufgeführt werden. Die CA stellt auf dieser Basis ein einziges Zertifikat für alle betreffenden Internetadressen aus. Ein UCC ist für Shared-Hosting gut geeignet. Sind die Websites auf mehreren Servern hinterlegt, muss das Zertifikat auf jeder betreffenden Hardware installiert werden.

SAN-Zertifikate

Für den Fall, dass mehrere eigenständige Domains mit einem Zertifikat geschützt werden sollen, sind SAN-Zertifikate die beste Lösung.

SAN steht für Subject Alternative Names. Wird eine CSR mit SAN ausgewiesen, können darin unendlich viele unterschiedliche Domainnamen aufgeführt werden. Das von der CA ausgestellte Zertifikat muss auf den entsprechenden Servern installiert werden, um die Verschlüsselung zu aktivieren.

Vor- und Nachteile von Multi-Domain-Zertifikaten

Die Vorteile, die in der Verschlüsselung mehrere Websites mit einem einzigen SSL-Zertifikat liegen, sind vor allem in einer erheblichen Kostenreduktion und einem verminderten Verwaltungs- und Wartungsaufwand zu sehen.

Auf der anderen Seite müssen sich Website-Betreiber auch im Klaren sein, dass Multi-Domain-Zertifikate alle betreffenden Domains aufführen. Für den Besucher einer Seite wird demnach über das SSL-Zertifikat sichtbar, welche Domains dem Betreiber noch gehören. Wer das nicht will, sollte auf die Verwendung entsprechender Lösungen zur SSL-Verschlüsselung verzichten.

Informiere dich auch, ob man ein SSL Zertifikat auf eine IP ausstellen kann?

Bildnachweis: Gerd Altmann auf Pixabay