SSL/TLS
Wildcard SSL-сертификаты: когда и как использовать
Wildcard проверку SSL защищает домен и все его поддомены одного уровня одним сертификатом. Вместо покупки отдельных сертификатов для www.example.com, api.example.com и app.example.com, wildcard *.example.com покрывает все.
Как работает wildcard
Wildcard использует звёздочку (*) в левой позиции: *.example.com. Покрывает:
www.example.com✓api.example.com✓app.example.com✓anything.example.com✓
НЕ покрывает:
example.com✗ (базовый домен — хотя большинство CA включают как SAN)sub.api.example.com✗ (многоуровневые поддомены)example.org✗ (другой домен)
Wildcard vs отдельные сертификаты
| Аспект | Wildcard | Отдельные |
|---|---|---|
| Покрытие | Все поддомены (один уровень) | Конкретные домены |
| Управление | Один сертификат | Несколько |
| Стоимость | Одна покупка | За каждый домен |
| Безопасность | Выше риск — компрометация ключа затрагивает все поддомены | Ниже — изолировано |
| Отзыв | Затрагивает все поддомены | Можно отозвать по отдельности |
| Валидация | Только DV или OV | DV, OV или EV |
Когда использовать wildcard
- Много поддоменов: 5+ и добавляются регулярно
- Динамические поддомены: SaaS-платформы с поддоменами для клиентов
- Dev-окружения: dev, staging, test
- Упрощение управления: снижение сложности перевыпуска
Когда НЕ использовать
- Мало поддоменов: 2-3 не оправдывают компромисс по безопасности
- Разные серверы: каждому серверу нужен приватный ключ — расширяет поверхность атаки
- Нужен EV: для EV wildcards не выпускаются
- Многоуровневые поддомены:
*.example.comне покроетsub.api.example.com
Безопасность
- Распространение ключа: каждый сервер с wildcard нуждается в приватном ключе
- Радиус поражения: компрометация ключа затрагивает ВСЕ поддомены
- Захват поддомена: если перестали использовать поддомен, но DNS ещё указывает на старый сервис — атакующие могут захватить его
Let's Encrypt wildcard
Let's Encrypt выдаёт бесплатные wildcard-сертификаты с 2018, но:
- DNS-01 challenge обязателен: подтверждение владения через TXT DNS Lookup
- Автоматизация: certbot с DNS-плагином или acme.sh с API документацию провайдера
# Certbot с Cloudflare DNS
certbot certonly --dns-cloudflare \
--dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
-d example.com -d *.example.comСоветы по настройке
- Включите базовый домен: запрашивайте и
example.com, и*.example.com - Автоматизируйте обновление: с DNS-валидацией
- Минимизируйте распространение ключа: терминируйте TLS на реверс-прокси/балансировщике
- Мониторьте Certificate Transparency: следите за неожиданными сертификатами
- План на компрометацию: быстрый отзыв и перевыпуск
Заключение
Wildcard-сертификаты — мощный инструмент для управления SSL множества поддоменов. Упрощают управление, но увеличивают риск безопасности. Используйте при динамических или многочисленных поддоменах, минимизируя распространение приватного ключа.
Проверьте ваш сайт прямо сейчас
Проверить →