Tous les articles SSL SSL et certificats

Certificats SSL pour les sous-domaines : vos options expliquées

Vous avez besoin de HTTPS sur un sous-domaine (blog.example.com, api.example.com, staging.example.com). Trois options :

Option 1 : Certificat wildcard (*.example.com)

Un seul certificat couvre tous les sous-domaines automatiquement — y compris ceux que vous créerez à l’avenir.

AvantagesInconvénients
Couvre un nombre illimité de sous-domainesNécessite un challenge DNS-01 (accès DNS requis)
Les nouveaux sous-domaines fonctionnent instantanémentUne seule clé privée pour tous les sous-domaines (risque partagé)
1 seul certificat à gérerNe couvre pas les sous-domaines imbriqués (a.b.example.com)
Gratuit avec Let’s EncryptNe couvre pas le domaine nu (ajoutez example.com séparément)

Idéal pour : De nombreux sous-domaines, ajouts fréquents de nouveaux.

*.example.com couvre :
  ✅ www.example.com
  ✅ blog.example.com
  ✅ api.example.com
  ✅ staging.example.com
  ✅ anything.example.com
  ❌ example.com (à ajouter séparément)
  ❌ sub.blog.example.com (imbriqué)

Comment obtenir un certificat wildcard →

Option 2 : Certificat SAN (lister des sous-domaines spécifiques)

Listez explicitement chaque sous-domaine dans le champ Subject Alternative Name du certificat.

AvantagesInconvénients
Peut utiliser le challenge HTTP-01 (plus simple)Chaque sous-domaine doit être listé explicitement
Peut combiner différents domaines de baseL’ajout d’un sous-domaine nécessite un nouveau certificat
Chaque nom est validé individuellementLimite Let’s Encrypt : 100 noms par certificat
Gratuit avec Let’s EncryptPlus de gestion si les sous-domaines changent souvent

Idéal pour : Un petit ensemble fixe de sous-domaines (2-5).

Le certificat SAN couvre exactement ce que vous listez :
  ✅ example.com
  ✅ www.example.com
  ✅ blog.example.com
  ❌ api.example.com (si non listé)

Dans GetHTTPS, entrez simplement tous les sous-domaines dont vous avez besoin.

Option 3 : Certificat séparé par sous-domaine

Chaque sous-domaine obtient son propre certificat.

AvantagesInconvénients
Isolation maximale (clés séparées)Charge de gestion la plus élevée
Calendriers de renouvellement indépendantsUn certificat par sous-domaine à suivre
La compromission d’un n’affecte pas les autresPlus de configuration serveur
Fonctionne avec HTTP-01 par sous-domaine

Idéal pour : Les sous-domaines gérés par des équipes différentes, ou lorsque l’isolation de sécurité est importante.

Tableau comparatif

WildcardSANSéparé
Sous-domaines couvertsTous (illimité)Uniquement ceux listésUn par certificat
Nouveaux sous-domainesAutomatiqueRéémission nécessaireNouveau certificat nécessaire
Type de challengeDNS-01 uniquementHTTP-01 ou DNS-01HTTP-01 ou DNS-01
Certificats à gérer11N
Isolation de sécuritéClé partagéeClé partagéeClés isolées
Coût (Let’s Encrypt)GratuitGratuitGratuit
Idéal pourSous-domaines dynamiquesEnsemble fixe (2-5)Isolation par équipe

Scénarios courants

”J’ai example.com et www.example.com

Certificat SAN (le plus simple). Dans GetHTTPS, entrez les deux noms. C’est la configuration la plus courante.

”Je gère des sous-domaines www, blog, api, docs, staging

Wildcard (*.example.com + example.com). Couvre tous les sous-domaines actuels et futurs.

”Chaque sous-domaine est le site d’un client différent”

Certificats séparés. Chaque client gère le sien. La compromission d’un n’affecte pas les autres.

”J’ai example.com + example.org + des sous-domaines”

Certificat SAN combinant domaines + wildcard : example.com, *.example.com, example.org. GetHTTPS le prend en charge.

Questions fréquemment posées

Est-ce que *.example.com couvre example.com lui-même ?

Non. Le domaine nu doit être listé séparément. Dans GetHTTPS, ajoutez à la fois *.example.com et example.com. Détails →

Puis-je combiner wildcard et domaines spécifiques dans un seul certificat ?

Oui. Un seul certificat Let’s Encrypt peut inclure *.example.com, example.com et other.com comme entrées SAN. Jusqu’à 100 noms par certificat.

Quelle option est la moins chère ?

Les trois sont gratuites avec Let’s Encrypt via GetHTTPS. Certaines CA commerciales facturent un supplément pour les wildcards (200-500 $/an) et par SAN (10-50 $ chacun). Avec Let’s Encrypt, le coût n’est jamais un facteur.

Mon sous-domaine est sur un serveur différent. Puis-je utiliser le même certificat ?

Oui. Installez les mêmes fullchain.pem et privkey.pem sur les deux serveurs. Le certificat ne sait pas sur quel serveur il se trouve — il valide uniquement le nom de domaine.

Articles connexes

SSL et certificats 2026-05-07
Comprendre les certificats SSL Wildcard
Un certificat wildcard (*.example.com) securise tous les sous-domaines avec un seul certificat. Decouvrez comment les wildcards fonctionnent, leurs limitations et comment en obtenir un gratuitement.
SSL et certificats 2026-05-07
Certificats SSL multi-domaines (SAN)
Un certificat SAN multi-domaines sécurise plusieurs domaines différents avec un seul certificat. Découvrez comment fonctionne SAN, quand l'utiliser plutôt qu'un wildcard, et comment en obtenir un avec GetHTTPS.
Premiers pas 2026-05-07
Comment obtenir un certificat SSL wildcard gratuit
Obtenez un certificat SSL wildcard gratuit (*.example.com) de Let's Encrypt avec GetHTTPS. Nécessite uniquement la challenge DNS-01. Configuration DNS pour Cloudflare, Route 53, GoDaddy et Namecheap.
SSL et certificats 2026-05-08
Quel certificat SSL choisir ? Guide de décision
Vous ne savez pas quel certificat SSL choisir ? Utilisez ce guide de décision. Couvre DV vs OV vs EV, single vs wildcard vs multi-domaine, gratuit vs payant, et des recommandations pour chaque scénario.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat