Tous les articles SSL SSL et certificats

Comprendre les certificats SSL Wildcard

Un certificat SSL wildcard securise un domaine et tous ses sous-domaines avec un seul certificat. Au lieu d’obtenir des certificats separes pour www.example.com, blog.example.com et api.example.com, un seul wildcard *.example.com les couvre tous.

Comment fonctionnent les wildcards

Le caractere wildcard * correspond a n’importe quel sous-domaine de premier niveau :

CertificatCouvreNe couvre pas
*.example.comwww.example.com, blog.example.com, api.example.com, anything.example.comexample.com (domaine nu), sub.blog.example.com (imbrique)
*.example.com + example.comTous les sous-domaines + le domaine nuSous-domaines imbriques
*.sub.example.coma.sub.example.com, b.sub.example.comsub.example.com, example.com

Limitation cle : Les wildcards ne correspondent qu’a un seul niveau. *.example.com ne couvre PAS a.b.example.com.

Wildcard vs multi-domaine (SAN)

WildcardMulti-domaine (SAN)
CouvreTous les sous-domaines d’un niveauDomaines specifiques listes
FlexibiliteTout sous-domaine fonctionne automatiquementChaque domaine doit etre liste explicitement
Nouveaux sous-domainesCouverts instantanementNecessite un nouveau certificat
Inter-domainesNon (un domaine de base)Oui (example.com + other.com)
DNS-01 requis✅ OuiNon (HTTP-01 ou DNS-01)

Utilisez un wildcard quand : Vous avez beaucoup de sous-domaines ou en ajoutez frequemment. Utilisez un SAN quand : Vous avez un petit ensemble fixe de domaines/sous-domaines specifiques.

Quand utiliser un certificat wildcard

Bons cas d’utilisation :

  • Vous gerez de nombreux sous-domaines (app., api., docs., blog., staging., etc.) et ne voulez pas gerer un certificat separe pour chacun
  • Vous ajoutez frequemment de nouveaux sous-domaines — ils sont couverts automatiquement sans reemission
  • Environnements de developpement/staging ou les noms de sous-domaines changent souvent

Quand les wildcards ne conviennent pas :

  • Vous devez couvrir differents domaines de base (example.com + example.org) — utilisez un certificat SAN a la place
  • Vous avez besoin d’isolation par sous-domaine — si la cle d’un sous-domaine est compromise, le certificat wildcard couvre tous les sous-domaines
  • Vous ne pouvez pas modifier les enregistrements DNS — l’emission de wildcard necessite DNS-01, qui requiert un acces DNS

Considerations de securite

Un certificat wildcard signifie qu’une seule cle privee protege tous les sous-domaines. Si la cle est compromise, un attaquant peut usurper n’importe quel sous-domaine — pas un seul.

Mesures d’attenuation :

  • Restreindre l’acces a la cle privee — seul(s) le(s) serveur(s) qui en ont besoin devraient avoir le fichier de cle
  • Utiliser des certificats a courte duree — la validite de 90 jours de Let’s Encrypt limite la fenetre d’exposition
  • Envisager des certificats separes pour les sous-domaines haute securite (par ex. admin.example.com pourrait justifier son propre certificat)

Obtenir un certificat wildcard gratuit

Let’s Encrypt prend en charge les certificats wildcard via la challenge DNS-01 sans frais. La plupart des concurrents (ZeroSSL, SSL For Free) reservent les wildcards aux plans payants.

Avec GetHTTPS :

  1. Entrez *.example.com (+ example.com si vous voulez le domaine nu)
  2. Ajoutez l’enregistrement TXT DNS que GetHTTPS fournit
  3. Attendez la propagation DNS (GetHTTPS le pre-verifie pour vous)
  4. Verifiez et telechargez vos fichiers de certificat

Guide complet wildcard etape par etape →

Installer un certificat wildcard

Comme tout certificat — le serveur ne sait pas que c’est un wildcard :

Nginx :

server {
    listen 443 ssl http2;
    server_name *.example.com example.com;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;
}

Apache :

<VirtualHost *:443>
    ServerName example.com
    ServerAlias *.example.com

    SSLEngine on
    SSLCertificateFile /etc/ssl/cert.pem
    SSLCertificateKeyFile /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Questions frequemment posees

Pourquoi ne puis-je pas utiliser HTTP-01 pour les wildcards ?

HTTP-01 valide un nom d’hote specifique en placant un fichier a http://hostname/.well-known/acme-challenge/.... Un wildcard couvre un nombre infini de sous-domaines — il n’y a pas de serveur unique ou placer le fichier. DNS-01 prouve le controle du domaine entier via un enregistrement TXT au niveau de la zone.

*.example.com couvre-t-il example.com ?

Non. Le domaine nu est separe. Ajoutez a la fois *.example.com et example.com a votre demande de certificat. GetHTTPS et Certbot prennent tous deux en charge cela dans un seul certificat.

Puis-je obtenir un wildcard gratuit de ZeroSSL ?

Non. ZeroSSL reserve les certificats wildcard aux plans payants (a partir de 10 $/mois). Let’s Encrypt offre les wildcards gratuitement.

Puis-je avoir plusieurs certificats wildcard pour le meme domaine ?

Oui. Il n’y a pas de limite technique. Vous pourriez avoir *.example.com et *.staging.example.com comme certificats separes. La limite de taux de Let’s Encrypt est de 50 certificats par domaine enregistre par semaine.

Un certificat wildcard couvre-t-il les sous-domaines imbriques ?

Non. *.example.com couvre www.example.com et api.example.com mais PAS dev.api.example.com. Pour les sous-domaines imbriques, vous avez besoin d’un wildcard separe comme *.api.example.com.

Comment tester si mon certificat wildcard fonctionne pour un sous-domaine specifique ?

Pointez le DNS du sous-domaine vers votre serveur, puis testez :

echo | openssl s_client -connect subdomain.example.com:443 -servername subdomain.example.com 2>/dev/null | openssl x509 -noout -subject -dates

Le certificat devrait afficher CN=*.example.com ou *.example.com dans le champ SAN. Si vous obtenez une erreur de connexion, le DNS du sous-domaine ne pointe pas vers le serveur qui heberge le certificat wildcard.

Puis-je utiliser un certificat wildcard sur plusieurs serveurs ?

Oui. Installez les memes fullchain.pem et privkey.pem sur chaque serveur qui gere des sous-domaines. Le certificat ne sait pas sur quel serveur il se trouve — il valide uniquement le nom d’hote.

Articles connexes

Premiers pas 2026-05-07
Comment obtenir un certificat SSL wildcard gratuit
Obtenez un certificat SSL wildcard gratuit (*.example.com) de Let's Encrypt avec GetHTTPS. Nécessite uniquement la challenge DNS-01. Configuration DNS pour Cloudflare, Route 53, GoDaddy et Namecheap.
SSL et certificats 2026-05-07
Certificats SSL multi-domaines (SAN)
Un certificat SAN multi-domaines sécurise plusieurs domaines différents avec un seul certificat. Découvrez comment fonctionne SAN, quand l'utiliser plutôt qu'un wildcard, et comment en obtenir un avec GetHTTPS.
SSL et certificats 2026-05-07
Types de certificats SSL expliqués : DV, OV et EV
Comparez les certificats SSL Domain Validation (DV), Organization Validation (OV) et Extended Validation (EV). Découvrez les différences de vérification, de coût, et quand vous avez réellement besoin de chaque type.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat