Один из показателей производительности, которые Вы заметите от летучей мыши, является потреблением поршня. При высокой загрузке посетителя апач ест много поршня, где lighttpd не будет.
Во-первых, сертификат SAN = сертификаты UCC. Они - оба просто сертификаты с полем SubjectAltName.
Во-вторых, подстановочный знак ..domain.com не будет работать в большинстве браузеров. Необходимо будет или получить два Wildcard-сертификата (один для *.sandbox.domain.com и один для *.domain.com) или получить Wildcard-сертификат для *.domain.com и сделать, чтобы поставщик SSL поместил определенный SubjectAltName ja.sandbox.domain.com. Я думаю, DigiCert и GlobalSign предлагают это.
Согласно http://ssl.com определенно технически возможно объединить UCC и групповые сертификаты. По сути, они рекомендуют использовать сертификат UCC с одним альтернативным именем субъекта, содержащим ваш подстановочный знак: * .domain.com - они отмечают, что вам нужно будет доплатить, чтобы иметь подстановочные знаки в UCC.
Чтобы охватить неограниченное количество поддоменов, просто создайте домены с подстановочными знаками (например, * .sitename.com) в поле общего имени или в качестве SAN (альтернативное имя субъекта) при покупке UCC ... Вы даже можете поместить другие подстановочные знаки в поля SAN, например * .sub1.sitename.com
Просто создайте домены с подстановочными знаками (например, * .sitename.com) в поле общего имени и / или как SANS (альтернативные имена субъектов ) при покупке (или создании) UCC. Большинство центров сертификации будут взимать с вас плату за каждый домен с подстановочными знаками как за стандартный сертификат с подстановочными знаками.
Comodo, например, отмечает при покупке сертификата UCC, что:
Домены с подстановочными знаками могут быть добавлены в UCC за дополнительную плату в размере 399,00 долларов США за домен.
Let's Encrypt
Судя по доскам обсуждений http://LetsEncrypt.com , кажется, что это возможность также может быть включена, когда она будет доступна позже в 2015 г.
Главное, что нужно помнить:
Так что это зависит от многих факторов, но одна UCC, которая включает в себя все Ваши доменные имена (включая подстановочные знаки), может быть лучшим решением/более простым в управлении, чем куча различных сертификатов.
(Также, просто FYI - похоже, что Let's Encrypt в настоящее время не настроен на работу со спецсимволами )
.