Итак задача, тут я позволю себе процитировать eSupport.org.ua из темы годичной давности:Ту тему я не поднимал, а специально открыл новую по той причине, что помимо ссылок на поставщиков, я бы хотел обсудить некоторую особенность предоставляемых сертификатов, об этом ниже.

Проблема:
возникает когда сертификат необходим на основной домен, а не на какой-то отдельно взятый поддомен. А именно - оформлять заявку на domain.com или же на www.domain.com.
Сколько пользователей все еще набирает в строке адреса перед каждым именем www., а сколько уже давно об этом забыло (речь идет о стандартных DNS-настройках, когда с www и без него это один и тот же сайт) - такой статистике мне не известно. Но какова бы она не была, необходимо стараться заботиться обо всех, и поэтому оформив сертификат на один из этих двух вариантов, другая часть пользователей будет получать предупреждение безопасности при входе на сайт о том, что указанное в сертификате название не совпадает с посещаемым ресурсом.
С таким же успехом можно самостоятельно подписать сертификат, и главное подписать так, как это нам нужно(!), и вместо одного предупреждения будем получать другое, но зато бесплатно.

Решение проблемы:
если разобраться более подробно, то оно все-таки существует И кроется оно в дополнительных возможностях, или скорее расширениях (extensions) стандарта X.509 v3 (RFC 3280). Там конечно есть много интересных возможностей, но в данном вопросе интересует раздел 4.2.1.7 Subject Alternative Name, который позволяет к предмету сертификата (т.е. доменному имени) добавить тождественные ему имена:Пожалуй неплохо было бы получить один сертификат, например, и на доменное имя и на выделенный для него IP адрес.
Таким образом, например, подписывая сертификат с помощью OpenSSL, добавив в файл конфигурации расширений строку (подробнее в документации):мы получаем нужный результат.

Анализ поставщиков:
сразу отбрасываем Thawte и ему подобных гигантов с их заоблачными ценами, ведь в первую очередь интересует дешевые сертификаты с наиболее простом способом валидации, т.к. смысла переплачивать я вообще не вижу, тем более когда мало кто вообще смотрит на тип исопльзуемых сертификатов. Главное - это его наличии и надежный поставщик.
Также, к сожалению, отпали Directi и RapidSSL, которые не предоставляют описанной выше возможности.
Единственный поставщик, удовлетворяющий этому требованию, который мне удалось найти - это GoDaddy. Чтобы наглядно стало понятно о чем идет речь предлагаю изучить сертификат на https://godaddy.com (и на https://www.godaddy.com тоже)

Теперь хотелось бы услышать мнения участников форума по данному вопросу, и может быть вам известны еще какие-нибудь поставщики сертификатов, предоставляющие аналогичные (или даже более продвинутые) возможности, что и GoDaddy?

P.S. Надеюсь данная тема поможет кому-нибудь при выборе и приобритении сертификатов.

А сделать редирект с domain на www.domain или наоборот и использовать любой сертификат без всяких заморочек не вариант?

ссл сертификат это далеко не просто прибабас который позволяет обеспечить защищенный обмен данными. это вполне решается и самоподписанными сертификами - типичный пример - тот же вебмани.
большей частью ссл сертификат нужен для того чтобы показать что ваш сайт не хухры мухры, что вы вложили в ег оразработку энное количество денег и чем больше тем в принципе лучше это как тот галстук за 5 штук баксов. для эк юсср это конечно не очень может быть актуально поскольку тут ментальность другая - не даром есть куча тем про кидал про валюхост и других крупных провайдеров. нас не проймешь этим. но, если ориентация на зарубеж идет тогда это просто необходимо.

willdcard сертификаты - не для Вас?

Такой вариант тоже рассматривался, и в случае захода на http редирект легко организовывается на нужный домен с https. А вот если пользователь сразу заходит через безопасное соединение, то вначале поисходит проверка сертификата, т.е. он должен будет принять предлагаемый сертификат, а уже потом произойдет редирект.


данная тема стала результатом моих собственных поисков сертификатов, и в первую очередь он нужен именно для обеспечения безопасности передаваемых данных. Писать на страницах сайта о безопасности и при этом при входе получать предупреждения безопасности от броузера - это, я считаю, нонсенс.

У них цена самая высокая, а для ТС это критично исходя из его 1 поста.

Они используются совсем для других целей. К тому же сравните цены:
~30$ vs ~500$ - разница я думаю очевидна, дешевле уже взять пару обычных. Но зачем брать пару, если можно один?

Понятно.

помнится у тех же татей есть возможность взять т.н. дополнительную лицензию на сертификат. то есть это как раз для тех случаев когда надо на 2-3, 3-5 поддоменов. но, надо уточнять поскольку я не заморачивался с этим. цена на них получается дешевле намного чем на полноценный сертификат.

А что нужно сделать чтобы начать выдавать сертификаты самим - например хотя бы в пределах пост СССР пространства?

Самый простой способ начать что-либо продавать - это заняться перепродажей, т.е. реселлингом. Практически любая компания предлагает программы для реселлеров, выбирайте что удобнее.

Если же полностью самостоятельно заниматься выдачей, то из того, что удалось найти это вот например: http://www.geotrusteurope.com/enterprise/georoot/index.asp GeoRoot сертификат, он конечно расчитан немного на другие цели (например идеально бы подошел в случае вебмани, но они решили сэкономить и пользуются самоподписным корневым сертификатом), но тем не менее раздел General Requirements впечатляет с самого первого пункта о $5 млн. стоимости компании.

А если сделать так:

Для www.domain.tld сделать дополнительный виртуалхост без SSL (или даже с ним - описано ниже) и убрать www.domain.tld из алиасов domain.tld и в .htaccess сделать редирект на https://domain.tld Тогда все будет так как Вам надо.

Я www не набираю никогда, но по моему нужно быть эстетом что бы набирать в броузере https://www.domain.tld. Главное на своем сайте проверьте все что бы на адрес https://www.domain.tld ничего не ссылалось.

А вот это зря, по всем правилам это два разных сайта и с www как раз публичный для Веба, это много где используется.
Например с www сайт компании, без него вход для работников компании.

DLag, что за бред?

Как раз с редиректами проблем никаких, они легко настраиваются на нужный адрес.
А на счет "эстетов", тут пожалуй, трудно не согласиться, среднестатистический пользователь вообще не знает что такое протокол, поэтому основную роль будет играть редирект, а если уже набирать вручную с https то если ранее на сайте был, то броузер запомнит адрес, а если нет, то тех кто будет полностью все набирать - это будут единицы от всех пользователей.


Сделать так конечно можно, но я лично бы не советовал, слишком много будет нежелательного трафика. Раздел для сотрудников лучше оформить на отдельном поддомене.