Wildcard SSL — что это и когда нужен
Wildcard SSL — это сертификат для всех поддоменов одного домена сразу. Вместо того чтобы выпускать отдельные сертификаты для api.example.com, admin.example.com, stage.example.com — выпускаете один *.example.com который покрывает их все.
Когда wildcard нужен
Section titled “Когда wildcard нужен”Хорошие сценарии:
- 🎯 У вас много поддоменов (api, admin, app, stage, dev, m, www) — экономия времени на выпуске
- 🆕 Поддомены добавляются часто — wildcard покрывает любые будущие
- 🔄 Динамические поддомены — например, мультитенантный SaaS с
client1.example.com,client2.example.com— без wildcard не обойтись - 🛡️ Tilda/Bitrix/etc — некоторые CMS требуют wildcard для работы
Когда wildcard избыточен:
- У вас один-два поддомена (например, только
wwwи сам домен) — проще выпустить обычный SAN-сертификат на оба - Поддомены статичные и редко меняются
Что покрывает wildcard
Section titled “Что покрывает wildcard”*.example.com покрывает:
- ✅
api.example.com - ✅
admin.example.com - ✅
m.example.com - ✅
anything.example.com
НЕ покрывает:
- ❌ Сам
example.com(без поддомена) - ❌
sub.api.example.com(вложенные поддомены второго уровня)
Особенность wildcard — только DNS-валидация
Section titled “Особенность wildcard — только DNS-валидация”Let’s Encrypt требует только DNS-валидацию для wildcard-сертификатов. HTTP-валидация (через файл на сервере) не подойдёт — это правило самого Let’s Encrypt, мы на это не влияем.
Что это значит на практике:
- Нужен доступ к настройкам DNS у регистратора домена (или DNS-провайдера типа Cloudflare)
- Нужно добавить TXT-запись (или несколько — для wildcard их может быть две на один домен)
- Сертификат выпускается даже если самого сайта ещё нет
Подробное руководство по DNS-методу — на странице Let’s Encrypt без сервера.
Выпуск через наш генератор
Section titled “Выпуск через наш генератор”-
Откройте monisite.ru/ssl
-
В поле «Домены» введите
*.example.com(замените на свой). Если хотите покрыть и apex-домен —example.com, *.example.com. -
Метод валидации автоматически переключится на DNS — wildcard через HTTP не работает.
-
Получите 1-2 TXT-записи для добавления в DNS вашего домена. Запись называется
_acme-challenge.example.com. -
Добавьте записи в панели управления DNS у регистратора.
-
Подождите 1-10 минут пока DNS обновится. Проверить распространение можно на dnschecker.org — введите
_acme-challenge.example.comи типTXT. -
Нажмите «Проверить» в нашем генераторе. После успеха — скачивайте сертификат.
Где обычно настраивается DNS
Section titled “Где обычно настраивается DNS”Несколько популярных провайдеров и где у них раздел TXT-записей:
| Провайдер | Где найти |
|---|---|
| Cloudflare | DNS → Records → Add record → TXT |
| Yandex Cloud DNS | Сервисы → Cloud DNS → ваша зона → Создать запись → TXT |
| Reg.ru | Управление доменом → DNS-серверы и зона → Добавить запись |
| Beget | Управление сайтом → DNS → Добавить запись TXT |
| Timeweb | Панель → DNS → Добавить запись |
| Selectel | Сервера и услуги → DNS → ваша зона → Добавить запись |
Если ваш провайдер не в списке — поищите в его документации «как добавить TXT-запись».
Безопасность wildcard-сертификата
Section titled “Безопасность wildcard-сертификата”⚠️ Важный момент: если приватный ключ wildcard-сертификата скомпрометирован — скомпрометированы все поддомены сразу. Поэтому:
- Храните приватный ключ безопасно — отдельно от кода в гите
- Не используйте один и тот же wildcard на разных серверах с разной степенью защиты
- Для высококритичных сервисов (например, банк) лучше выпустить отдельные сертификаты, чем один wildcard
Для большинства проектов это всё несущественно — wildcard вполне безопасен, если вы храните privkey.pem грамотно.
Срок и продление
Section titled “Срок и продление”90 дней, как у любого Let’s Encrypt сертификата. Продление = повторный выпуск через генератор.
Подробнее в Бесплатный SSL-генератор.