Necesitas HTTPS en un subdominio (blog.example.com, api.example.com, staging.example.com). Tres opciones:
Opción 1: Certificado comodín (*.example.com)
Un certificado cubre todos los subdominios automáticamente — incluyendo los que crees en el futuro.
| Ventajas | Desventajas |
|---|---|
| Cubre subdominios ilimitados | Requiere desafío DNS-01 (necesita acceso DNS) |
| Nuevos subdominios funcionan al instante | Una clave privada para todos los subdominios (riesgo compartido) |
| Solo 1 certificado que gestionar | No cubre subdominios anidados (a.b.example.com) |
| Gratis de Let’s Encrypt | No cubre el dominio base (añadir example.com por separado) |
Mejor para: Muchos subdominios, añadiendo nuevos frecuentemente.
*.example.com covers:
✅ www.example.com
✅ blog.example.com
✅ api.example.com
✅ staging.example.com
✅ anything.example.com
❌ example.com (add separately)
❌ sub.blog.example.com (nested)Cómo obtener un certificado comodín →
Opción 2: Certificado SAN (listar subdominios específicos)
Lista explícitamente cada subdominio en el campo Subject Alternative Name del certificado.
| Ventajas | Desventajas |
|---|---|
| Puede usar desafío HTTP-01 (más simple) | Debe listar cada subdominio explícitamente |
| Puede mezclar diferentes dominios base | Añadir un subdominio requiere nuevo certificado |
| Cada nombre validado individualmente | Límite de Let’s Encrypt: 100 nombres por certificado |
| Gratis de Let’s Encrypt | Más gestión si los subdominios cambian frecuentemente |
Mejor para: Conjunto pequeño y fijo de subdominios (2-5).
SAN certificate covers exactly what you list:
✅ example.com
✅ www.example.com
✅ blog.example.com
❌ api.example.com (if not listed)En GetHTTPS, simplemente ingresa todos los subdominios que necesites.
Opción 3: Certificado separado por subdominio
Cada subdominio obtiene su propio certificado.
| Ventajas | Desventajas |
|---|---|
| Máximo aislamiento (claves separadas) | Mayor carga de gestión |
| Calendarios de renovación independientes | Un certificado por subdominio para rastrear |
| Comprometer uno no afecta a otros | Más configuración del servidor |
| Funciona con HTTP-01 por subdominio |
Mejor para: Subdominios gestionados por diferentes equipos, o cuando el aislamiento de seguridad importa.
Tabla comparativa
| Comodín | SAN | Separados | |
|---|---|---|---|
| Subdominios cubiertos | Todos (ilimitados) | Solo los listados | Uno por certificado |
| Nuevos subdominios | Automático | Se necesita re-emitir | Se necesita nuevo certificado |
| Tipo de desafío | Solo DNS-01 | HTTP-01 o DNS-01 | HTTP-01 o DNS-01 |
| Certificados a gestionar | 1 | 1 | N |
| Aislamiento de seguridad | Clave compartida | Clave compartida | Claves aisladas |
| Costo (Let’s Encrypt) | Gratis | Gratis | Gratis |
| Mejor para | Subdominios dinámicos | Conjunto fijo (2-5) | Aislamiento por equipo |
Escenarios comunes
«Tengo example.com y www.example.com»
→ Certificado SAN (lo más simple). En GetHTTPS, ingresa ambos nombres. Esta es la configuración más común.
«Tengo subdominios www, blog, api, docs, staging»
→ Comodín (*.example.com + example.com). Cubre todos los subdominios actuales y futuros.
«Cada subdominio es el sitio de un cliente diferente»
→ Certificados separados. Cada cliente gestiona el suyo. Comprometer uno no afecta a otros.
«Tengo example.com + example.org + subdominios»
→ Certificado SAN combinando dominios + comodín: example.com, *.example.com, example.org. GetHTTPS lo soporta.
Preguntas frecuentes
¿*.example.com cubre example.com en sí?
No. El dominio base necesita listarse por separado. En GetHTTPS, añade tanto *.example.com como example.com. Detalles →
¿Puedo mezclar comodín y dominios específicos en un certificado?
Sí. Un solo certificado de Let’s Encrypt puede incluir *.example.com, example.com y other.com como entradas SAN. Hasta 100 nombres por certificado.
¿Qué opción es más barata?
Las tres son gratis con Let’s Encrypt vía GetHTTPS. Algunas CAs comerciales cobran extra por comodines ($200-500/año) y por SAN ($10-50 cada uno). Con Let’s Encrypt, el costo nunca es un factor.
Mi subdominio está en un servidor diferente. ¿Puedo usar el mismo certificado?
Sí. Instala los mismos fullchain.pem y privkey.pem en ambos servidores. El certificado no sabe en qué servidor está — solo valida el nombre de dominio.