Un certificado SSL comodín asegura un dominio y todos sus subdominios con un solo certificado. Por ejemplo, *.example.com cubre www.example.com, blog.example.com, api.example.com y cualquier otro subdominio, sin listarlos individualmente.
Con GetHTTPS, puedes obtener un certificado comodín de Let’s Encrypt de forma gratuita. La mayoría de los competidores (ZeroSSL, SSL For Free) cobran por los certificados comodín.
Requisitos previos
- Un nombre de dominio que quieras proteger con un comodín (ej.,
example.com) - Acceso a la configuración DNS de tu dominio — los certificados comodín requieren validación DNS-01 (HTTP-01 no funciona para comodines)
- Un navegador moderno
¿Por qué solo DNS-01? El desafío HTTP-01 valida un nombre de host único colocando un archivo en
http://hostname/.well-known/acme-challenge/.... Un comodín cubre subdominios infinitos, así que no hay un solo servidor donde colocar el archivo. DNS-01 demuestra el control de todo el dominio a través de un registro DNS TXT.
Paso 1: Abre GetHTTPS
Ve a gethttps.com/app/setup. Se generarán automáticamente una clave de cuenta y una clave de certificado en tu navegador.
Paso 2: Introduce tu dominio comodín
Introduce *.example.com (reemplaza example.com con tu dominio).
Configuraciones comunes:
| Lo que introduces | Lo que se cubre |
|---|---|
*.example.com | Todos los subdominios (www, blog, api, etc.) |
*.example.com + example.com | Todos los subdominios + el dominio raíz |
*.sub.example.com | Todos los sub-subdominios de sub.example.com |
Importante: Un certificado comodín para *.example.com no cubre example.com en sí (el dominio raíz). Si quieres ambos, añade example.com como nombre separado: GetHTTPS los manejará en un solo certificado.
Paso 3: Añade el registro DNS TXT
GetHTTPS te mostrará un registro DNS TXT para crear:
- Nombre del registro:
_acme-challenge.example.com - Valor del registro: Una cadena aleatoria larga (diferente cada vez)
- Tipo de registro: TXT
Añade este registro en tu proveedor DNS:
Cloudflare
- Ve a DNS → Records → Add record
- Type: TXT
- Name:
_acme-challenge(Cloudflare añade automáticamente tu dominio) - Content: pega el valor de GetHTTPS
- TTL: Auto
- Haz clic en Save
AWS Route 53
- Ve a Hosted zones → selecciona tu dominio
- Haz clic en Create record
- Record name:
_acme-challenge - Record type: TXT
- Value:
"pega-el-valor-aquí"(incluye las comillas) - Haz clic en Create records
GoDaddy
- Ve a DNS Management
- Haz clic en Add bajo Records
- Type: TXT
- Name:
_acme-challenge - Value: pega el valor de GetHTTPS
- TTL: 1 Hour
- Haz clic en Save
Namecheap
- Ve a Domain List → Manage → Advanced DNS
- Haz clic en Add new record
- Type: TXT
- Host:
_acme-challenge - Value: pega el valor de GetHTTPS
- TTL: Automatic
- Haz clic en Save all changes
Paso 4: Espera la propagación DNS
Los cambios DNS tardan de 1 a 5 minutos en propagarse globalmente, a veces más dependiendo de tu proveedor y la configuración de TTL.
La función de pre-verificación de GetHTTPS consulta el DNS público (vía DNS-over-HTTPS de Google) para verificar que tu registro TXT es visible antes de enviar a Let’s Encrypt. Espera hasta que la pre-verificación se apruebe antes de hacer clic en Verify.
Paso 5: Verifica y descarga
Una vez que la pre-verificación confirma tu registro DNS, haz clic en Verify. Let’s Encrypt validará el desafío y emitirá tu certificado comodín.
Descarga los cuatro archivos:
privkey.pem— tu clave privada (mantener en secreto)cert.pem— tu certificado comodínchain.pem— certificado intermediofullchain.pem— cert + chain (la mayoría de servidores necesitan este)
Paso 6: Instala el certificado comodín
La instalación es igual que cualquier certificado SSL. Usa fullchain.pem y privkey.pem:
Nginx:
server {
listen 443 ssl http2;
server_name *.example.com example.com;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
}Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias *.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>Limpieza
Después de emitir tu certificado, puedes eliminar el registro TXT _acme-challenge de tu DNS. Solo se necesita durante la validación. Crearás uno nuevo cuando renueves.
¿Por qué GetHTTPS para comodines?
La mayoría de las herramientas SSL basadas en navegador cobran por certificados comodín:
| Herramienta | ¿Comodín gratuito? | Cómo |
|---|---|---|
| GetHTTPS | ✅ Sí | DNS-01 vía Let’s Encrypt |
| ZeroSSL | ❌ Solo de pago ($10/mes+) | — |
| SSL For Free | ❌ No | — |
| Certbot | ✅ Sí | DNS-01, necesita CLI + root |
| acme.sh | ✅ Sí | DNS-01, necesita CLI |
GetHTTPS es la única herramienta basada en navegador que ofrece certificados comodín gratuitos. Sin instalación, sin CLI, sin acceso root necesario — solo acceso DNS.
Errores comunes
Añadir *.example.com pero olvidar example.com
Un comodín cubre subdominios pero no el dominio raíz. Si solo obtienes *.example.com, los visitantes a https://example.com (sin www) verán un error de certificado. Añade siempre ambos.
No esperar la propagación DNS
Los cambios DNS pueden tardar de 1 a 30 minutos dependiendo de tu proveedor y la configuración de TTL. No hagas clic en Verify demasiado rápido: la pre-verificación de GetHTTPS te dirá cuándo el registro es visible.
Crear un CNAME en lugar de un registro TXT
El registro del desafío debe ser de tipo TXT, no CNAME, no A, no AAAA. Algunas interfaces DNS usan por defecto un tipo diferente; verifica antes de guardar.
Dejar registros _acme-challenge antiguos
Si tienes un registro TXT _acme-challenge obsoleto de un certificado anterior, elimínalo antes de añadir el nuevo. Múltiples registros TXT con el mismo nombre pueden confundir la validación.
Preguntas frecuentes
¿*.example.com cubre example.com (dominio raíz)?
No. Un certificado comodín para *.example.com cubre www.example.com, blog.example.com, etc., pero no example.com en sí. Añade tanto *.example.com como example.com en GetHTTPS para cubrir ambos.
¿Cubre sub-subdominios como a.b.example.com?
No. *.example.com solo cubre un nivel de subdominio. Para *.sub.example.com, necesitarías un comodín separado.
¿Puedo obtener un certificado comodín gratis de ZeroSSL?
No. ZeroSSL restringe los certificados comodín a planes de pago. Let’s Encrypt (vía GetHTTPS) ofrece certificados comodín sin costo.
¿Con qué frecuencia necesito renovar?
Cada 90 días, igual que cualquier certificado de Let’s Encrypt. Necesitarás crear un nuevo registro DNS TXT para cada renovación. Con el próximo límite de validez de 47 días (para 2029), esto será más frecuente.
¿Es seguro DNS-01? Estoy modificando mi DNS.
Sí. Solo estás añadiendo un registro TXT, que no afecta el tráfico de tu sitio web, email ni ningún otro registro DNS. El subdominio _acme-challenge está diseñado específicamente para la validación ACME.