Wildcard SSL certificate एक domain और उसके सभी subdomains को single certificate से secure करता है। www.example.com, blog.example.com, और api.example.com के लिए separate certificates लेने की बजाय, एक *.example.com wildcard सब cover कर लेता है।
Wildcards कैसे काम करते हैं
Wildcard character * किसी भी single-level subdomain से match करता है:
| Certificate | Covers | Doesn’t cover |
|---|---|---|
*.example.com | www.example.com, blog.example.com, api.example.com, anything.example.com | example.com (bare domain), sub.blog.example.com (nested) |
*.example.com + example.com | सभी subdomains + bare domain | Nested subdomains |
*.sub.example.com | a.sub.example.com, b.sub.example.com | sub.example.com, example.com |
Key limitation: Wildcards सिर्फ one level match करते हैं। *.example.com a.b.example.com cover नहीं करता।
Wildcard vs Multi-domain (SAN)
| Wildcard | Multi-domain (SAN) | |
|---|---|---|
| Covers | One level पर सभी subdomains | Specific listed domains |
| Flexibility | कोई भी subdomain automatically काम करता है | हर domain explicitly list करना होगा |
| New subdomains | Instantly covered | New certificate जरूरी |
| Cross-domain | No (एक base domain) | Yes (example.com + other.com) |
| DNS-01 required | ✅ Yes | No (HTTP-01 या DNS-01) |
Wildcard use करें जब: बहुत subdomains हों या frequently new add करते हों। SAN use करें जब: Specific domains/subdomains का small, fixed set हो।
Wildcard certificate कब use करें
Good use cases:
- Multiple subdomains run करते हैं (
app.,api.,docs.,blog.,staging., etc.) और हर एक के लिए separate certificate manage नहीं करना चाहते - Frequently new subdomains add करते हैं — re-issue बिना automatically covered
- Development/staging environments जहाँ subdomain names अक्सर बदलते हैं
जब wildcards fit नहीं:
- Different base domains (
example.com+example.org) cover करने हैं — SAN certificate use करें - Per-subdomain isolation चाहिए — अगर एक subdomain की key compromise होती है, wildcard certificate सभी subdomains cover करता है
- DNS records modify नहीं कर सकते — wildcard issue करने के लिए DNS-01 जरूरी, जिसके लिए DNS access चाहिए
Security considerations
Wildcard certificate मतलब एक private key सभी subdomains protect करती है। Key compromise होने पर, attacker किसी भी subdomain impersonate कर सकता है — सिर्फ एक नहीं।
Mitigation:
- Private key access limit करें — सिर्फ उन server(s) को key file होनी चाहिए जिन्हें जरूरत है
- Short-lived certificates use करें — Let’s Encrypt की 90-day validity exposure window limit करती है
- High-security subdomains के लिए separate certificates consider करें (e.g.,
admin.example.comका अपना certificate हो)
Free wildcard certificate लेना
Let’s Encrypt बिना charge DNS-01 challenge से wildcard certificates support करता है। ज्यादातर competitors (ZeroSSL, SSL For Free) wildcards paid plans तक restrict करते हैं।
GetHTTPS से:
*.example.comenter करें (+example.comअगर bare domain भी चाहिए)- GetHTTPS द्वारा दिया गया DNS TXT record add करें
- DNS propagation wait करें (GetHTTPS pre-check करता है)
- Verify करें और certificate files download करें
Full step-by-step wildcard guide →
Wildcard certificate install करना
किसी भी certificate जैसा — server को पता नहीं यह wildcard है:
Nginx:
server {
listen 443 ssl http2;
server_name *.example.com example.com;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}
Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias *.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
FAQ
Wildcards के लिए HTTP-01 use क्यों नहीं कर सकते?
HTTP-01 specific hostname validate करता है http://hostname/.well-known/acme-challenge/... पर file place करके। Wildcard infinite subdomains cover करता है — file place करने के लिए कोई single server नहीं। DNS-01 zone level पर TXT record से पूरे domain का control prove करता है।
क्या *.example.com, example.com cover करता है?
नहीं। Bare domain separate है। Certificate request में *.example.com और example.com दोनों add करें। GetHTTPS और Certbot दोनों same certificate में support करते हैं।
ZeroSSL से free wildcard मिल सकता है?
नहीं। ZeroSSL wildcard certificates paid plans ($10/month+) तक restrict करता है। Let’s Encrypt free wildcards provide करता है।
Same domain के लिए multiple wildcard certificates हो सकते हैं?
हाँ। कोई technical limit नहीं। *.example.com और *.staging.example.com separate certificates हो सकते हैं। Let’s Encrypt rate limit per registered domain per week 50 certificates है।
Wildcard certificate nested subdomains cover करता है?
नहीं। *.example.com www.example.com और api.example.com cover करता है लेकिन dev.api.example.com नहीं। Nested subdomains के लिए, *.api.example.com जैसा separate wildcard चाहिए।
कैसे test करें कि wildcard certificate specific subdomain के लिए काम कर रहा है?
Subdomain DNS server की तरफ point करें, फिर test:
echo | openssl s_client -connect subdomain.example.com:443 -servername subdomain.example.com 2>/dev/null | openssl x509 -noout -subject -dates
Certificate में CN=*.example.com या SAN field में *.example.com दिखना चाहिए। Connection error मतलब subdomain DNS wildcard certificate host करने वाले server की तरफ point नहीं कर रहा।
Wildcard certificate multiple servers पर use कर सकते हैं?
हाँ। Subdomains handle करने वाले हर server पर same fullchain.pem और privkey.pem install करें। Certificate को पता नहीं किस server पर है — बस hostname validate करता है।