Um certificado SSL wildcard protege um domínio e todos os seus subdomínios com um único certificado. Por exemplo, *.example.com cobre www.example.com, blog.example.com, api.example.com e qualquer outro subdomínio — sem listar cada um individualmente.
Com o GetHTTPS, você pode obter um certificado wildcard do Let’s Encrypt gratuitamente. A maioria dos concorrentes (ZeroSSL, SSL For Free) cobra por certificados wildcard.
Pre-requisitos
- Um nome de domínio que você deseja proteger com wildcard (ex.:
example.com) - Acesso as configurações DNS do seu domínio — certificados wildcard requerem válidação DNS-01 (HTTP-01 não funciona para wildcards)
- Um navegador moderno
Por que apenas DNS-01? O desafio HTTP-01 válida um único hostname colocando um arquivo em
http://hostname/.well-known/acme-challenge/.... Um wildcard cobre infinitos subdomínios, entao não ha um único servidor para colocar o arquivo. O DNS-01 comprova o controle de todo o domínio através de um registro DNS TXT.
Passo 1: Abrir o GetHTTPS
Va para gethttps.com/app/setup. Uma chave de conta é uma chave de certificado serao geradas automaticamente no seu navegador.
Passo 2: Digitar seu domínio wildcard
Digite *.example.com (substitua example.com pelo seu domínio).
Configurações comuns:
| O que você digita | O que e coberto |
|---|---|
*.example.com | Todos os subdomínios (www, blog, api, etc.) |
*.example.com + example.com | Todos os subdomínios + o domínio raiz |
*.sub.example.com | Todos os sub-subdomínios de sub.example.com |
Importante: Um certificado wildcard para *.example.com não cobre example.com em si (o domínio raiz). Se você quer ambos, adicione example.com como um nome separado — o GetHTTPS tratara ambos em um único certificado.
Passo 3: Adicionar o registro DNS TXT
O GetHTTPS mostrara um registro DNS TXT para criar:
- Nome do registro:
_acme-challenge.example.com - Valor do registro: Uma string aleatoria longa (diferente a cada vez)
- Tipo do registro: TXT
Adicione este registro no seu provedor DNS:
Cloudflare
- Va para DNS → Records → Add record
- Type: TXT
- Name:
_acme-challenge(Cloudflare adiciona seu domínio automaticamente) - Content: cole o valor do GetHTTPS
- TTL: Auto
- Clique em Save
AWS Route 53
- Va para Hosted zones → selecione seu domínio
- Clique em Create record
- Record name:
_acme-challenge - Record type: TXT
- Value:
"cole-o-valor-aqui"(inclua as aspas) - Clique em Create records
GoDaddy
- Va para DNS Management
- Clique em Add em Records
- Type: TXT
- Name:
_acme-challenge - Value: cole o valor do GetHTTPS
- TTL: 1 Hour
- Clique em Save
Namecheap
- Va para Domain List → Manage → Advanced DNS
- Clique em Add new record
- Type: TXT
- Host:
_acme-challenge - Value: cole o valor do GetHTTPS
- TTL: Automatic
- Clique em Save all changes
Passo 4: Aguardar a propagação do DNS
As alteracoes de DNS levam de 1 a 5 minutos para propagar globalmente, as vezes mais dependendo do seu provedor e das configurações de TTL.
O recurso de pre-verificação do GetHTTPS consulta o DNS público (via DNS-over-HTTPS do Google) para verificar se seu registro TXT esta visivel antes de enviar ao Let’s Encrypt. Aguarde até a pre-verificação ser aprovada antes de clicar em Verify.
Passo 5: Verificar e baixar
Quando a pre-verificação confirmar seu registro DNS, clique em Verify. O Let’s Encrypt validara o desafio e emitira seu certificado wildcard.
Baixe todos os quatro arquivos:
privkey.pem— sua chave privada (mantenha em segredo)cert.pem— seu certificado wildcardchain.pem— certificado intermediáriofullchain.pem— cert + chain (a maioria dos servidores precisa deste)
Passo 6: Instalar o certificado wildcard
A instalação e igual a de qualquer certificado SSL. Use fullchain.pem e privkey.pem:
Nginx:
server {
listen 443 ssl http2;
server_name *.example.com example.com;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
}
Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias *.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Limpeza
Após a emissão do certificado, você pode deletar o registro TXT _acme-challenge do seu DNS. Ele só é necessário durante a válidação. Você criara um novo quando renovar.
Por que GetHTTPS para wildcards?
A maioria das ferramentas SSL baseadas em navegador cobra por certificados wildcard:
| Ferramenta | Wildcard gratuito? | Como |
|---|---|---|
| GetHTTPS | ✅ Sim | DNS-01 via Let’s Encrypt |
| ZeroSSL | ❌ Apenas pago ($10/mes+) | — |
| SSL For Free | ❌ Não | — |
| Certbot | ✅ Sim | DNS-01, precisa de CLI + root |
| acme.sh | ✅ Sim | DNS-01, precisa de CLI |
O GetHTTPS e a unica ferramenta baseada em navegador que oferece certificados wildcard gratuitos. Sem instalação, sem CLI, sem acesso root necessário — apenas acesso DNS.
Erros comuns
Adicionar *.example.com mas esquecer example.com
Um wildcard cobre subdomínios mas não o domínio raiz. Se você só obter *.example.com, visitantes de https://example.com (sem www) verao um erro de certificado. Sempre adicione ambos.
Não aguardar a propagação DNS
Alteracoes DNS podem levar de 1 a 30 minutos dependendo do seu provedor e das configurações de TTL. Não clique em Verify rápido demais — a pre-verificação do GetHTTPS informara quando o registro estiver visivel.
Criar um CNAME em vez de um registro TXT
O registro de desafio deve ser do tipo TXT, não CNAME, não A, não AAAA. Algumas interfaces DNS tem um tipo padrão diferente — verifique antes de salvar.
Deixar registros _acme-challenge antigos
Se você tem um registro TXT _acme-challenge antigo de um certificado anterior, delete-o antes de adicionar o novo. Múltiplos registros TXT para o mesmo nome podem confundir a válidação.
Perguntas frequentes
*.example.com cobre example.com (domínio raiz)?
Não. Um certificado wildcard para *.example.com cobre www.example.com, blog.example.com, etc., mas não example.com em si. Adicione ambos *.example.com e example.com no GetHTTPS para cobrir os dois.
Cobre sub-subdomínios como a.b.example.com?
Não. *.example.com cobre apenas um nível de subdomínio. Para *.sub.example.com, você precisaria de um wildcard separado.
Posso obter um certificado wildcard gratuito do ZeroSSL?
Não. O ZeroSSL restringe certificados wildcard a planos pagos. O Let’s Encrypt (via GetHTTPS) oferece certificados wildcard sem custo.
Com que frequencia preciso renovar?
A cada 90 dias, igual a qualquer certificado Let’s Encrypt. Você precisara criar um novo registro DNS TXT para cada renovação. Com o futuro limite de validade de 47 dias (até 2029), isso se tornara mais frequente.
O DNS-01 e seguro? Estou modificando meu DNS.
Sim. Você esta apenas adicionando um registro TXT — isso não afeta o trafego do seu site, e-mail ou qualquer outro registro DNS. O subdomínio _acme-challenge e projetado especificamente para válidação ACME.