Сертификат SSL альтернативных имен субъекта (Subject Alternative Name, SAN), откуда странные имена?

Question

[Андрей]

Регулярно изучаю записи и информацию о сертификатах с https://crt.sh
Например, по Habr.ru https://crt.sh/?id=282759903
В разделе X509v3 Subject Alternative Name: указаны
DNS:habr.ru
DNS:www.habr.ru
Тут вроде всё ясно, и в разделе Subject указано organizationalUnitName = PositiveSSL
Однако, те же сертификаты, у которых в разделе Subject указано organizationalUnitName = PositiveSSL Multi-Domain
У тех полный разброс имен, вроде dns имя одно у ресурса, и оно рабочее, но в разделе X509v3 Subject Alternative Name: полно различных имен ресурсов, которые при посещении, визуально, вообще не причем с основным именем.
Насколько я понимаю, альтернативные имена создаются при создании сертификата, условно, собственником, или всё-таки, не стоит доверять записям из X509v3 Subject Alternative Name, не стоит их ассоциировать с основным доменом?

Answer 1

[DevMan]

мультидоменные сертификаты позволяют обслуживать совершенно различные домены.
и добавлять их по мере необходимости.

Comments

[Андрей]

Спасибо, вопрос несколько в другом. Можно ли утверждать, что условный автор-создатель сертификата имеет отношении к тем альтернативным именам, доменам. Или всё-таки это издатель, например, COMODO - сам вписывает эти имена?
Например, читаю раздел Certificate:
Издатель, Issuer: commonName = COMODO ECC Domain Validation Secure Server CA 2
organizationName = COMODO CA Limited
Subject:
commonName = sni202938.cloudflaressl.com
organizationalUnitName = PositiveSSL Multi-Domain

В разделе X509v3 Subject Alternative Name:- список из 20 доменов...один из них, тот от которого я пришел.
Остальные 19 - откуда и чьи они?

[DevMan]

Андрей, вписывает издатель по запросу владельца сертификата. естественно, добавляемый домен необходимо валидировать.

[Андрей]

DevMan, Спасибо за ответ, потому как регулярно в своих исследованиях, "натыкаюсь" на диаметрально противоположные по смыслу и замыслу "основному ресурсу" альтернативные имена, что уже стал подозревать, что в альтернативные имена полный рандом вписывается.

[DevMan]

Андрей, так в этом и смысл SAN - нет привязки к конкретному домену как у обычного серта или у вайлдкарда.
а навешивать на него только сходные ресурсы или нет каждый уже решает сам.

[CityCat4]

Андрей, В SAN вписывается то, что пожелает владелец сертификата. И эти имена будут подтверждаться выданным сертификатом. Все. Причем есть такая фича, что имя из CN может перестать использоваться при наличии SAN - вот почему в SAN обычно пишется еще и имя из CN. Это и есть главная фича SAN - позволить одному сертификату подтверждать несколько имен.
Но если Вы задумали сэкономить - то не получится, по крайней мере с апачем. Он требует имя только в CN, на имена в SAN кладет огромный железобетонный.