Un certificat SSL wildcard securise un domaine et tous ses sous-domaines avec un seul certificat. Au lieu d’obtenir des certificats separes pour www.example.com, blog.example.com et api.example.com, un seul wildcard *.example.com les couvre tous.
Comment fonctionnent les wildcards
Le caractere wildcard * correspond a n’importe quel sous-domaine de premier niveau :
| Certificat | Couvre | Ne couvre pas |
|---|---|---|
*.example.com | www.example.com, blog.example.com, api.example.com, anything.example.com | example.com (domaine nu), sub.blog.example.com (imbrique) |
*.example.com + example.com | Tous les sous-domaines + le domaine nu | Sous-domaines imbriques |
*.sub.example.com | a.sub.example.com, b.sub.example.com | sub.example.com, example.com |
Limitation cle : Les wildcards ne correspondent qu’a un seul niveau. *.example.com ne couvre PAS a.b.example.com.
Wildcard vs multi-domaine (SAN)
| Wildcard | Multi-domaine (SAN) | |
|---|---|---|
| Couvre | Tous les sous-domaines d’un niveau | Domaines specifiques listes |
| Flexibilite | Tout sous-domaine fonctionne automatiquement | Chaque domaine doit etre liste explicitement |
| Nouveaux sous-domaines | Couverts instantanement | Necessite un nouveau certificat |
| Inter-domaines | Non (un domaine de base) | Oui (example.com + other.com) |
| DNS-01 requis | ✅ Oui | Non (HTTP-01 ou DNS-01) |
Utilisez un wildcard quand : Vous avez beaucoup de sous-domaines ou en ajoutez frequemment. Utilisez un SAN quand : Vous avez un petit ensemble fixe de domaines/sous-domaines specifiques.
Quand utiliser un certificat wildcard
Bons cas d’utilisation :
- Vous gerez de nombreux sous-domaines (
app.,api.,docs.,blog.,staging., etc.) et ne voulez pas gerer un certificat separe pour chacun - Vous ajoutez frequemment de nouveaux sous-domaines — ils sont couverts automatiquement sans reemission
- Environnements de developpement/staging ou les noms de sous-domaines changent souvent
Quand les wildcards ne conviennent pas :
- Vous devez couvrir differents domaines de base (
example.com+example.org) — utilisez un certificat SAN a la place - Vous avez besoin d’isolation par sous-domaine — si la cle d’un sous-domaine est compromise, le certificat wildcard couvre tous les sous-domaines
- Vous ne pouvez pas modifier les enregistrements DNS — l’emission de wildcard necessite DNS-01, qui requiert un acces DNS
Considerations de securite
Un certificat wildcard signifie qu’une seule cle privee protege tous les sous-domaines. Si la cle est compromise, un attaquant peut usurper n’importe quel sous-domaine — pas un seul.
Mesures d’attenuation :
- Restreindre l’acces a la cle privee — seul(s) le(s) serveur(s) qui en ont besoin devraient avoir le fichier de cle
- Utiliser des certificats a courte duree — la validite de 90 jours de Let’s Encrypt limite la fenetre d’exposition
- Envisager des certificats separes pour les sous-domaines haute securite (par ex.
admin.example.compourrait justifier son propre certificat)
Obtenir un certificat wildcard gratuit
Let’s Encrypt prend en charge les certificats wildcard via la challenge DNS-01 sans frais. La plupart des concurrents (ZeroSSL, SSL For Free) reservent les wildcards aux plans payants.
Avec GetHTTPS :
- Entrez
*.example.com(+example.comsi vous voulez le domaine nu) - Ajoutez l’enregistrement TXT DNS que GetHTTPS fournit
- Attendez la propagation DNS (GetHTTPS le pre-verifie pour vous)
- Verifiez et telechargez vos fichiers de certificat
Guide complet wildcard etape par etape →
Installer un certificat wildcard
Comme tout certificat — le serveur ne sait pas que c’est un wildcard :
Nginx :
server {
listen 443 ssl http2;
server_name *.example.com example.com;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}
Apache :
<VirtualHost *:443>
ServerName example.com
ServerAlias *.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Questions frequemment posees
Pourquoi ne puis-je pas utiliser HTTP-01 pour les wildcards ?
HTTP-01 valide un nom d’hote specifique en placant un fichier a http://hostname/.well-known/acme-challenge/.... Un wildcard couvre un nombre infini de sous-domaines — il n’y a pas de serveur unique ou placer le fichier. DNS-01 prouve le controle du domaine entier via un enregistrement TXT au niveau de la zone.
*.example.com couvre-t-il example.com ?
Non. Le domaine nu est separe. Ajoutez a la fois *.example.com et example.com a votre demande de certificat. GetHTTPS et Certbot prennent tous deux en charge cela dans un seul certificat.
Puis-je obtenir un wildcard gratuit de ZeroSSL ?
Non. ZeroSSL reserve les certificats wildcard aux plans payants (a partir de 10 $/mois). Let’s Encrypt offre les wildcards gratuitement.
Puis-je avoir plusieurs certificats wildcard pour le meme domaine ?
Oui. Il n’y a pas de limite technique. Vous pourriez avoir *.example.com et *.staging.example.com comme certificats separes. La limite de taux de Let’s Encrypt est de 50 certificats par domaine enregistre par semaine.
Un certificat wildcard couvre-t-il les sous-domaines imbriques ?
Non. *.example.com couvre www.example.com et api.example.com mais PAS dev.api.example.com. Pour les sous-domaines imbriques, vous avez besoin d’un wildcard separe comme *.api.example.com.
Comment tester si mon certificat wildcard fonctionne pour un sous-domaine specifique ?
Pointez le DNS du sous-domaine vers votre serveur, puis testez :
echo | openssl s_client -connect subdomain.example.com:443 -servername subdomain.example.com 2>/dev/null | openssl x509 -noout -subject -dates
Le certificat devrait afficher CN=*.example.com ou *.example.com dans le champ SAN. Si vous obtenez une erreur de connexion, le DNS du sous-domaine ne pointe pas vers le serveur qui heberge le certificat wildcard.
Puis-je utiliser un certificat wildcard sur plusieurs serveurs ?
Oui. Installez les memes fullchain.pem et privkey.pem sur chaque serveur qui gere des sous-domaines. Le certificat ne sait pas sur quel serveur il se trouve — il valide uniquement le nom d’hote.