Tous les guides de démarrage Premiers pas

Comment obtenir un certificat SSL wildcard gratuit

Un certificat SSL wildcard sécurise un domaine et tous ses sous-domaines avec un seul certificat. Par exemple, *.example.com couvre www.example.com, blog.example.com, api.example.com et tout autre sous-domaine — sans avoir à les lister individuellement.

Avec GetHTTPS, vous pouvez obtenir un certificat wildcard de Let’s Encrypt gratuitement. La plupart des concurrents (ZeroSSL, SSL For Free) facturent les certificats wildcard.

Prérequis

  • Un nom de domaine que vous souhaitez sécuriser avec un wildcard (ex : example.com)
  • Accès aux paramètres DNS de votre domaine — les certificats wildcard nécessitent la validation DNS-01 (HTTP-01 ne fonctionne pas pour les wildcards)
  • Un navigateur moderne

Pourquoi DNS-01 uniquement ? La challenge HTTP-01 valide un seul nom d’hôte en plaçant un fichier à http://hostname/.well-known/acme-challenge/.... Un wildcard couvre un nombre infini de sous-domaines, donc il n’y a pas de serveur unique où placer le fichier. DNS-01 prouve le contrôle de l’ensemble du domaine par un enregistrement TXT DNS.

Étape 1 : Ouvrir GetHTTPS

Allez sur gethttps.com/app/setup. Une clé de compte et une clé de certificat seront générées automatiquement dans votre navigateur.

Étape 2 : Entrer votre domaine wildcard

Entrez *.example.com (remplacez example.com par votre domaine).

Configurations courantes :

Ce que vous entrezCe qui est couvert
*.example.comTous les sous-domaines (www, blog, api, etc.)
*.example.com + example.comTous les sous-domaines + le domaine nu
*.sub.example.comTous les sous-sous-domaines de sub.example.com

Important : Un certificat wildcard pour *.example.com ne couvre pas example.com lui-même (le domaine nu). Si vous voulez les deux, ajoutez example.com comme nom séparé — GetHTTPS gérera les deux dans un seul certificat.

Étape 3 : Ajouter l’enregistrement TXT DNS

GetHTTPS vous affichera un enregistrement TXT DNS à créer :

  • Nom de l’enregistrement : _acme-challenge.example.com
  • Valeur de l’enregistrement : Une longue chaîne aléatoire (différente à chaque fois)
  • Type d’enregistrement : TXT

Ajoutez cet enregistrement chez votre fournisseur DNS :

Cloudflare

  1. Allez dans DNSRecordsAdd record
  2. Type : TXT
  3. Name : _acme-challenge (Cloudflare ajoute automatiquement votre domaine)
  4. Content : collez la valeur de GetHTTPS
  5. TTL : Auto
  6. Cliquez sur Save

AWS Route 53

  1. Allez dans Hosted zones → sélectionnez votre domaine
  2. Cliquez sur Create record
  3. Record name : _acme-challenge
  4. Record type : TXT
  5. Value : "collez-la-valeur-ici" (incluez les guillemets)
  6. Cliquez sur Create records

GoDaddy

  1. Allez dans DNS Management
  2. Cliquez sur Add sous Records
  3. Type : TXT
  4. Name : _acme-challenge
  5. Value : collez la valeur de GetHTTPS
  6. TTL : 1 Hour
  7. Cliquez sur Save

Namecheap

  1. Allez dans Domain ListManageAdvanced DNS
  2. Cliquez sur Add new record
  3. Type : TXT
  4. Host : _acme-challenge
  5. Value : collez la valeur de GetHTTPS
  6. TTL : Automatic
  7. Cliquez sur Save all changes

Étape 4 : Attendre la propagation DNS

Les modifications DNS prennent 1 à 5 minutes pour se propager globalement, parfois plus selon votre fournisseur et les paramètres TTL.

La fonctionnalité de vérification préalable de GetHTTPS interroge le DNS public (via l’API DNS-over-HTTPS de Google) pour vérifier que votre enregistrement TXT est visible avant de soumettre à Let’s Encrypt. Attendez que la vérification préalable réussisse avant de cliquer sur Verify.

Étape 5 : Vérifier et télécharger

Une fois que la vérification préalable confirme votre enregistrement DNS, cliquez sur Verify. Let’s Encrypt validera la challenge et émettra votre certificat wildcard.

Téléchargez les quatre fichiers :

  • privkey.pem — votre clé privée (gardez-la secrète)
  • cert.pem — votre certificat wildcard
  • chain.pem — certificat intermédiaire
  • fullchain.pem — cert + chain (la plupart des serveurs en ont besoin)

Étape 6 : Installer le certificat wildcard

L’installation est la même que pour tout certificat SSL. Utilisez fullchain.pem et privkey.pem :

Nginx :

server {
    listen 443 ssl http2;
    server_name *.example.com example.com;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
}

Apache :

<VirtualHost *:443>
    ServerName example.com
    ServerAlias *.example.com

    SSLEngine on
    SSLCertificateFile      /etc/ssl/cert.pem
    SSLCertificateKeyFile   /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Nettoyage

Après l’émission de votre certificat, vous pouvez supprimer l’enregistrement TXT _acme-challenge de votre DNS. Il n’est nécessaire que pendant la validation. Vous en créerez un nouveau lors du renouvellement.

Pourquoi GetHTTPS pour les wildcards ?

La plupart des outils SSL dans le navigateur facturent les certificats wildcard :

OutilWildcard gratuit ?Comment
GetHTTPS✅ OuiDNS-01 via Let’s Encrypt
ZeroSSL❌ Payant uniquement ($10/mois+)
SSL For Free❌ Non
Certbot✅ OuiDNS-01, nécessite CLI + root
acme.sh✅ OuiDNS-01, nécessite CLI

GetHTTPS est le seul outil dans le navigateur qui offre des certificats wildcard gratuits. Pas d’installation, pas de CLI, pas d’accès root nécessaire — juste un accès DNS.

Erreurs courantes

Ajouter *.example.com mais oublier example.com

Un wildcard couvre les sous-domaines mais pas le domaine nu. Si vous n’obtenez que *.example.com, les visiteurs de https://example.com (sans www) verront une erreur de certificat. Ajoutez toujours les deux.

Ne pas attendre la propagation DNS

Les modifications DNS peuvent prendre 1 à 30 minutes selon votre fournisseur et les paramètres TTL. Ne cliquez pas trop vite sur Verify — la vérification préalable de GetHTTPS vous indiquera quand l’enregistrement est visible.

Créer un CNAME au lieu d’un enregistrement TXT

L’enregistrement de challenge doit être de type TXT, pas CNAME, pas A, pas AAAA. Certaines interfaces DNS utilisent un type différent par défaut — vérifiez avant d’enregistrer.

Laisser d’anciens enregistrements _acme-challenge

Si vous avez un enregistrement TXT _acme-challenge obsolète d’un certificat précédent, supprimez-le avant d’ajouter le nouveau. Plusieurs enregistrements TXT pour le même nom peuvent perturber la validation.

Questions fréquentes

*.example.com couvre-t-il example.com (domaine nu) ?

Non. Un certificat wildcard pour *.example.com couvre www.example.com, blog.example.com, etc., mais pas example.com lui-même. Ajoutez à la fois *.example.com et example.com dans GetHTTPS pour couvrir les deux.

Couvre-t-il les sous-sous-domaines comme a.b.example.com ?

Non. *.example.com ne couvre qu’un seul niveau de sous-domaine. Pour *.sub.example.com, vous auriez besoin d’un wildcard séparé.

Puis-je obtenir un certificat wildcard gratuit chez ZeroSSL ?

Non. ZeroSSL réserve les certificats wildcard aux plans payants. Let’s Encrypt (via GetHTTPS) offre les certificats wildcard sans frais.

À quelle fréquence dois-je renouveler ?

Tous les 90 jours, comme tout certificat Let’s Encrypt. Vous devrez créer un nouvel enregistrement TXT DNS pour chaque renouvellement. Avec la future limite de validité de 47 jours (d’ici 2029), cela deviendra plus fréquent.

DNS-01 est-il sûr ? Je modifie mon DNS.

Oui. Vous n’ajoutez qu’un enregistrement TXT — cela n’affecte pas le trafic de votre site web, les e-mails ou tout autre enregistrement DNS. Le sous-domaine _acme-challenge est spécifiquement conçu pour la validation ACME.

Articles connexes

Premiers pas 2026-05-08
Comment obtenir un certificat SSL gratuit (guide étape par étape)
Obtenez un certificat SSL gratuit de Let's Encrypt en 5 minutes — aucun logiciel à installer, aucun compte à créer. Guide complet couvrant 4 méthodes, les deux types de challenge, l'installation sur 6 plateformes et le dépannage.
Premiers pas 2026-05-08
Challenge DNS-01 : fonctionnement et mise en place
La validation DNS-01 prouve la propriété du domaine en ajoutant un enregistrement TXT dans votre DNS. Requise pour les certificats wildcard. Configuration pour Cloudflare, Route 53, GoDaddy, Namecheap et plus.
Comparer 2026-05-08
Les meilleurs fournisseurs de certificats SSL gratuits en 2026 (comparaison)
Comparez 9 fournisseurs de certificats SSL gratuits sur la confidentialite, les limites, le support wildcard et l'automatisation. Inclut des CA autonomes, des hebergeurs et des CDN -- avec une analyse de confidentialite qu'aucune autre comparaison ne couvre.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat