Vous avez besoin de HTTPS sur un sous-domaine (blog.example.com, api.example.com, staging.example.com). Trois options :
Option 1 : Certificat wildcard (*.example.com)
Un seul certificat couvre tous les sous-domaines automatiquement — y compris ceux que vous créerez à l’avenir.
| Avantages | Inconvénients |
|---|---|
| Couvre un nombre illimité de sous-domaines | Nécessite un challenge DNS-01 (accès DNS requis) |
| Les nouveaux sous-domaines fonctionnent instantanément | Une seule clé privée pour tous les sous-domaines (risque partagé) |
| 1 seul certificat à gérer | Ne couvre pas les sous-domaines imbriqués (a.b.example.com) |
| Gratuit avec Let’s Encrypt | Ne couvre pas le domaine nu (ajoutez example.com séparément) |
Idéal pour : De nombreux sous-domaines, ajouts fréquents de nouveaux.
*.example.com couvre :
✅ www.example.com
✅ blog.example.com
✅ api.example.com
✅ staging.example.com
✅ anything.example.com
❌ example.com (à ajouter séparément)
❌ sub.blog.example.com (imbriqué)
Comment obtenir un certificat wildcard →
Option 2 : Certificat SAN (lister des sous-domaines spécifiques)
Listez explicitement chaque sous-domaine dans le champ Subject Alternative Name du certificat.
| Avantages | Inconvénients |
|---|---|
| Peut utiliser le challenge HTTP-01 (plus simple) | Chaque sous-domaine doit être listé explicitement |
| Peut combiner différents domaines de base | L’ajout d’un sous-domaine nécessite un nouveau certificat |
| Chaque nom est validé individuellement | Limite Let’s Encrypt : 100 noms par certificat |
| Gratuit avec Let’s Encrypt | Plus de gestion si les sous-domaines changent souvent |
Idéal pour : Un petit ensemble fixe de sous-domaines (2-5).
Le certificat SAN couvre exactement ce que vous listez :
✅ example.com
✅ www.example.com
✅ blog.example.com
❌ api.example.com (si non listé)
Dans GetHTTPS, entrez simplement tous les sous-domaines dont vous avez besoin.
Option 3 : Certificat séparé par sous-domaine
Chaque sous-domaine obtient son propre certificat.
| Avantages | Inconvénients |
|---|---|
| Isolation maximale (clés séparées) | Charge de gestion la plus élevée |
| Calendriers de renouvellement indépendants | Un certificat par sous-domaine à suivre |
| La compromission d’un n’affecte pas les autres | Plus de configuration serveur |
| Fonctionne avec HTTP-01 par sous-domaine |
Idéal pour : Les sous-domaines gérés par des équipes différentes, ou lorsque l’isolation de sécurité est importante.
Tableau comparatif
| Wildcard | SAN | Séparé | |
|---|---|---|---|
| Sous-domaines couverts | Tous (illimité) | Uniquement ceux listés | Un par certificat |
| Nouveaux sous-domaines | Automatique | Réémission nécessaire | Nouveau certificat nécessaire |
| Type de challenge | DNS-01 uniquement | HTTP-01 ou DNS-01 | HTTP-01 ou DNS-01 |
| Certificats à gérer | 1 | 1 | N |
| Isolation de sécurité | Clé partagée | Clé partagée | Clés isolées |
| Coût (Let’s Encrypt) | Gratuit | Gratuit | Gratuit |
| Idéal pour | Sous-domaines dynamiques | Ensemble fixe (2-5) | Isolation par équipe |
Scénarios courants
”J’ai example.com et www.example.com”
→ Certificat SAN (le plus simple). Dans GetHTTPS, entrez les deux noms. C’est la configuration la plus courante.
”Je gère des sous-domaines www, blog, api, docs, staging”
→ Wildcard (*.example.com + example.com). Couvre tous les sous-domaines actuels et futurs.
”Chaque sous-domaine est le site d’un client différent”
→ Certificats séparés. Chaque client gère le sien. La compromission d’un n’affecte pas les autres.
”J’ai example.com + example.org + des sous-domaines”
→ Certificat SAN combinant domaines + wildcard : example.com, *.example.com, example.org. GetHTTPS le prend en charge.
Questions fréquemment posées
Est-ce que *.example.com couvre example.com lui-même ?
Non. Le domaine nu doit être listé séparément. Dans GetHTTPS, ajoutez à la fois *.example.com et example.com. Détails →
Puis-je combiner wildcard et domaines spécifiques dans un seul certificat ?
Oui. Un seul certificat Let’s Encrypt peut inclure *.example.com, example.com et other.com comme entrées SAN. Jusqu’à 100 noms par certificat.
Quelle option est la moins chère ?
Les trois sont gratuites avec Let’s Encrypt via GetHTTPS. Certaines CA commerciales facturent un supplément pour les wildcards (200-500 $/an) et par SAN (10-50 $ chacun). Avec Let’s Encrypt, le coût n’est jamais un facteur.
Mon sous-domaine est sur un serveur différent. Puis-je utiliser le même certificat ?
Oui. Installez les mêmes fullchain.pem et privkey.pem sur les deux serveurs. Le certificat ne sait pas sur quel serveur il se trouve — il valide uniquement le nom de domaine.