Skip to content
← Все статьи

Wildcard SSL-сертификаты: когда и как использовать

Wildcard проверку SSL защищает домен и все его поддомены одного уровня одним сертификатом. Вместо покупки отдельных сертификатов для www.example.com, api.example.com и app.example.com, wildcard *.example.com покрывает все.

Как работает wildcard

Wildcard использует звёздочку (*) в левой позиции: *.example.com. Покрывает:

  • www.example.com
  • api.example.com
  • app.example.com
  • anything.example.com

НЕ покрывает:

  • example.com ✗ (базовый домен — хотя большинство CA включают как SAN)
  • sub.api.example.com ✗ (многоуровневые поддомены)
  • example.org ✗ (другой домен)

Wildcard vs отдельные сертификаты

АспектWildcardОтдельные
ПокрытиеВсе поддомены (один уровень)Конкретные домены
УправлениеОдин сертификатНесколько
СтоимостьОдна покупкаЗа каждый домен
БезопасностьВыше риск — компрометация ключа затрагивает все поддоменыНиже — изолировано
ОтзывЗатрагивает все поддоменыМожно отозвать по отдельности
ВалидацияТолько DV или OVDV, OV или EV

Когда использовать wildcard

  • Много поддоменов: 5+ и добавляются регулярно
  • Динамические поддомены: SaaS-платформы с поддоменами для клиентов
  • Dev-окружения: dev, staging, test
  • Упрощение управления: снижение сложности перевыпуска

Когда НЕ использовать

  • Мало поддоменов: 2-3 не оправдывают компромисс по безопасности
  • Разные серверы: каждому серверу нужен приватный ключ — расширяет поверхность атаки
  • Нужен EV: для EV wildcards не выпускаются
  • Многоуровневые поддомены: *.example.com не покроет sub.api.example.com

Безопасность

  • Распространение ключа: каждый сервер с wildcard нуждается в приватном ключе
  • Радиус поражения: компрометация ключа затрагивает ВСЕ поддомены
  • Захват поддомена: если перестали использовать поддомен, но DNS ещё указывает на старый сервис — атакующие могут захватить его

Let's Encrypt wildcard

Let's Encrypt выдаёт бесплатные wildcard-сертификаты с 2018, но:

  • DNS-01 challenge обязателен: подтверждение владения через TXT DNS Lookup
  • Автоматизация: certbot с DNS-плагином или acme.sh с API документацию провайдера
# Certbot с Cloudflare DNS
certbot certonly --dns-cloudflare \
  --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
  -d example.com -d *.example.com

Советы по настройке

  • Включите базовый домен: запрашивайте и example.com, и *.example.com
  • Автоматизируйте обновление: с DNS-валидацией
  • Минимизируйте распространение ключа: терминируйте TLS на реверс-прокси/балансировщике
  • Мониторьте Certificate Transparency: следите за неожиданными сертификатами
  • План на компрометацию: быстрый отзыв и перевыпуск

Заключение

Wildcard-сертификаты — мощный инструмент для управления SSL множества поддоменов. Упрощают управление, но увеличивают риск безопасности. Используйте при динамических или многочисленных поддоменах, минимизируя распространение приватного ключа.

Проверьте ваш сайт прямо сейчас

Проверить SSL своего сайта →
Другие статьи: SSL/TLS
SSL/TLS
SSL Pinning: что это и когда использовать
16.03.2026 · 176 просм.
SSL/TLS
SSL/TLS сертификаты: как работает HTTPS
10.03.2025 · 143 просм.
SSL/TLS
TLS-рукопожатие: пошаговое руководство по установке защищенного соединения
16.03.2026 · 218 просм.
SSL/TLS
TLS 1.3: что изменилось и почему это важно
16.03.2026 · 189 просм.