Я не сохранил бы пароль, хешированный двумя различными способами, потому что тогда система, по крайней мере, так же слаба как самый слабый из используемых хеш-алгоритмов.
В основном нет, не в плане общего хостинга.
Когда у вас есть несколько веб-сайтов, совместно использующих IP-адрес, сервер знает на какой сайт направить заголовок Host. SSL шифрует весь запрос и ответ, включая заголовок хоста - а веб-сервер не знает, какой сертификат SSL использовать для взлома сообщения перед попыткой его маршрутизации - вот почему у SSL-сайта должен быть выделенный IP-адрес.
Как я уже упоминал в вашем другом вопросе, просто попросите у вашего хоста выделенный IP-адрес для каждого домена, которому требуется SSL. Это довольно простой запрос. Если они не могут этого сделать, то, возможно, пришло время купить другой хост, поскольку кажется, что вы уже переросли то, что ваш хост может вам предоставить.
Что касается затрат: стоит ли вам чего-нибудь сертификаты, зависит от вашего используйте самозаверяющие, либо сертификаты из бесплатного ЦС, либо сертификаты из дорогого ЦС. Конечно, для самозаверяющих или бесплатных центров сертификации ваши пользователи должны будут подтвердить, что они доверяют центру сертификации в веб-браузере. Взгляните на CACert для недорогих сертификатов.
Что касается вашего исходного вопроса: подход, рекомендованный RFC 3280, заключается в заполнении всех имен хостов в расширении subjectAltName, см. Раздел 4.2.1.7 RFC . Готов ли ЦС выдать вам сертификат с заполненным этим расширением, снова зависит от ЦС.