Ein Wildcard-SSL-Zertifikat sichert eine Domain und alle ihre Subdomains mit einem einzigen Zertifikat. Zum Beispiel deckt *.example.com die Adressen www.example.com, blog.example.com, api.example.com und jede andere Subdomain ab — ohne jede einzeln aufzulisten.
Mit GetHTTPS können Sie ein Wildcard-Zertifikat von Let’s Encrypt kostenlos erhalten. Die meisten Mitbewerber (ZeroSSL, SSL For Free) verlangen Gebühren für Wildcard-Zertifikate.
Voraussetzungen
- Ein Domainname, den Sie mit einem Wildcard absichern möchten (z. B.
example.com) - Zugang zu den DNS-Einstellungen Ihrer Domain — Wildcard-Zertifikate erfordern DNS-01-Validierung (HTTP-01 funktioniert nicht für Wildcards)
- Ein moderner Browser
Warum nur DNS-01? Die HTTP-01-Challenge validiert einen einzelnen Hostnamen, indem eine Datei unter
http://hostname/.well-known/acme-challenge/...abgelegt wird. Ein Wildcard deckt unendlich viele Subdomains ab, daher gibt es keinen einzelnen Server, auf dem die Datei abgelegt werden kann. DNS-01 beweist die Kontrolle über die gesamte Domain durch einen DNS-TXT-Eintrag.
Schritt 1: GetHTTPS öffnen
Gehen Sie zu gethttps.com/app/setup. Ein Kontoschlüssel und ein Zertifikatsschlüssel werden automatisch in Ihrem Browser generiert.
Schritt 2: Wildcard-Domain eingeben
Geben Sie *.example.com ein (ersetzen Sie example.com durch Ihre Domain).
Häufige Konfigurationen:
| Was Sie eingeben | Was abgedeckt wird |
|---|---|
*.example.com | Alle Subdomains (www, blog, api, usw.) |
*.example.com + example.com | Alle Subdomains + die Bare Domain |
*.sub.example.com | Alle Sub-Subdomains von sub.example.com |
Wichtig: Ein Wildcard-Zertifikat für *.example.com deckt example.com selbst (die Bare Domain) nicht ab. Wenn Sie beides möchten, fügen Sie example.com als separaten Namen hinzu — GetHTTPS behandelt beide in einem Zertifikat.
Schritt 3: DNS-TXT-Eintrag hinzufügen
GetHTTPS zeigt Ihnen einen DNS-TXT-Eintrag zum Erstellen an:
- Eintragsname:
_acme-challenge.example.com - Eintragswert: Eine lange zufällige Zeichenkette (jedes Mal anders)
- Eintragstyp: TXT
Fügen Sie diesen Eintrag bei Ihrem DNS-Anbieter hinzu:
Cloudflare
- Gehen Sie zu DNS → Records → Add record
- Type: TXT
- Name:
_acme-challenge(Cloudflare fügt Ihre Domain automatisch an) - Content: Fügen Sie den Wert von GetHTTPS ein
- TTL: Auto
- Klicken Sie auf Save
AWS Route 53
- Gehen Sie zu Hosted zones → wählen Sie Ihre Domain
- Klicken Sie auf Create record
- Record name:
_acme-challenge - Record type: TXT
- Value:
"wert-hier-einfügen"(Anführungszeichen einschließen) - Klicken Sie auf Create records
GoDaddy
- Gehen Sie zu DNS Management
- Klicken Sie unter Records auf Add
- Type: TXT
- Name:
_acme-challenge - Value: Fügen Sie den Wert von GetHTTPS ein
- TTL: 1 Hour
- Klicken Sie auf Save
Namecheap
- Gehen Sie zu Domain List → Manage → Advanced DNS
- Klicken Sie auf Add new record
- Type: TXT
- Host:
_acme-challenge - Value: Fügen Sie den Wert von GetHTTPS ein
- TTL: Automatic
- Klicken Sie auf Save all changes
Schritt 4: Auf DNS-Propagierung warten
DNS-Änderungen brauchen 1-5 Minuten, um global zu propagieren, manchmal länger je nach Anbieter und TTL-Einstellungen.
Die Vorabprüfungsfunktion von GetHTTPS fragt öffentliches DNS (über die DNS-over-HTTPS-API von Google) ab, um zu verifizieren, dass Ihr TXT-Eintrag sichtbar ist, bevor er an Let’s Encrypt übermittelt wird. Warten Sie, bis die Vorabprüfung bestanden ist, bevor Sie auf Verify klicken.
Schritt 5: Verifizieren und herunterladen
Sobald die Vorabprüfung Ihren DNS-Eintrag bestätigt, klicken Sie auf Verify. Let’s Encrypt wird die Challenge validieren und Ihr Wildcard-Zertifikat ausstellen.
Laden Sie alle vier Dateien herunter:
privkey.pem— Ihr privater Schlüssel (geheim halten)cert.pem— Ihr Wildcard-Zertifikatchain.pem— Zwischenzertifikatfullchain.pem— cert + chain (die meisten Server benötigen dies)
Schritt 6: Wildcard-Zertifikat installieren
Die Installation ist die gleiche wie bei jedem SSL-Zertifikat. Verwenden Sie fullchain.pem und privkey.pem:
Nginx:
server {
listen 443 ssl http2;
server_name *.example.com example.com;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
}
Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias *.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Aufräumen
Nach der Ausstellung Ihres Zertifikats können Sie den _acme-challenge-TXT-Eintrag aus Ihrem DNS löschen. Er wird nur während der Validierung benötigt. Bei der Erneuerung erstellen Sie einen neuen.
Warum GetHTTPS für Wildcards?
Die meisten browserbasierten SSL-Tools verlangen Gebühren für Wildcard-Zertifikate:
| Tool | Kostenloses Wildcard? | Wie |
|---|---|---|
| GetHTTPS | ✅ Ja | DNS-01 über Let’s Encrypt |
| ZeroSSL | ❌ Nur kostenpflichtig ($10/Monat+) | — |
| SSL For Free | ❌ Nein | — |
| Certbot | ✅ Ja | DNS-01, erfordert CLI + Root |
| acme.sh | ✅ Ja | DNS-01, erfordert CLI |
GetHTTPS ist das einzige browserbasierte Tool, das kostenlose Wildcard-Zertifikate anbietet. Keine Installation, kein CLI, kein Root-Zugang nötig — nur DNS-Zugang.
Häufige Fehler
*.example.com hinzufügen, aber example.com vergessen
Ein Wildcard deckt Subdomains ab, aber nicht die Bare Domain. Wenn Sie nur *.example.com erhalten, sehen Besucher von https://example.com (ohne www) einen Zertifikatsfehler. Fügen Sie immer beide hinzu.
Nicht auf DNS-Propagierung warten
DNS-Änderungen können je nach Anbieter und TTL-Einstellungen 1-30 Minuten dauern. Klicken Sie nicht zu schnell auf Verify — die Vorabprüfung von GetHTTPS sagt Ihnen, wann der Eintrag sichtbar ist.
CNAME statt TXT-Eintrag erstellen
Der Challenge-Eintrag muss vom Typ TXT sein, nicht CNAME, nicht A, nicht AAAA. Einige DNS-Oberflächen haben standardmäßig einen anderen Typ — überprüfen Sie dies vor dem Speichern.
Alte _acme-challenge-Einträge belassen
Wenn Sie einen veralteten _acme-challenge-TXT-Eintrag von einem früheren Zertifikat haben, löschen Sie ihn, bevor Sie den neuen hinzufügen. Mehrere TXT-Einträge für denselben Namen können die Validierung verwirren.
Häufig gestellte Fragen
Deckt *.example.com auch example.com (Bare Domain) ab?
Nein. Ein Wildcard-Zertifikat für *.example.com deckt www.example.com, blog.example.com usw. ab, aber nicht example.com selbst. Fügen Sie in GetHTTPS sowohl *.example.com als auch example.com hinzu, um beides abzudecken.
Deckt es Sub-Subdomains wie a.b.example.com ab?
Nein. *.example.com deckt nur eine Ebene von Subdomains ab. Für *.sub.example.com bräuchten Sie ein separates Wildcard.
Kann ich ein Wildcard-Zertifikat bei ZeroSSL kostenlos bekommen?
Nein. ZeroSSL beschränkt Wildcard-Zertifikate auf kostenpflichtige Pläne. Let’s Encrypt (über GetHTTPS) bietet Wildcard-Zertifikate kostenlos an.
Wie oft muss ich erneuern?
Alle 90 Tage, wie bei jedem Let’s-Encrypt-Zertifikat. Sie müssen für jede Erneuerung einen neuen DNS-TXT-Eintrag erstellen. Mit dem kommenden Limit von 47 Tagen Gültigkeit (bis 2029) wird dies häufiger.
Ist DNS-01 sicher? Ich verändere ja mein DNS.
Ja. Sie fügen nur einen TXT-Eintrag hinzu — dies hat keinen Einfluss auf den Website-Verkehr, E-Mails oder andere DNS-Einträge. Die Subdomain _acme-challenge ist speziell für die ACME-Validierung vorgesehen.