Você precisa de HTTPS em um subdomínio (blog.example.com, api.example.com, staging.example.com). Tres opções:
Opcao 1: Certificado wildcard (*.example.com)
Um certificado cobre todos os subdomínios automaticamente — incluindo os que você criar no futuro.
| Pros | Contras |
|---|---|
| Cobre subdomínios ilimitados | Requer desafio DNS-01 (precisa de acesso ao DNS) |
| Novos subdomínios funcionam instantaneamente | Uma chave privada para todos os subdomínios (risco compartilhado) |
| Apenas 1 cert para gerenciar | Não cobre subdomínios aninhados (a.b.example.com) |
| Gratuito do Let’s Encrypt | Não cobre o domínio simples (adicione example.com separadamente) |
Melhor para: Muitos subdomínios, adicionando novos frequentemente.
*.example.com cobre:
✅ www.example.com
✅ blog.example.com
✅ api.example.com
✅ staging.example.com
✅ anything.example.com
❌ example.com (adicionar separadamente)
❌ sub.blog.example.com (aninhado)
Como obter um certificado wildcard →
Opcao 2: Certificado SAN (listar subdomínios especificos)
Liste explicitamente cada subdomínio no campo Subject Alternative Name do certificado.
| Pros | Contras |
|---|---|
| Pode usar desafio HTTP-01 (mais simples) | Deve listar cada subdomínio explicitamente |
| Pode misturar domínios base diferentes | Adicionar um subdomínio requer um novo certificado |
| Cada nome validado individualmente | Limite Let’s Encrypt: 100 nomes por cert |
| Gratuito do Let’s Encrypt | Mais gerenciamento se subdomínios mudam frequentemente |
Melhor para: Conjunto pequeno e fixo de subdomínios (2-5).
Certificado SAN cobre exatamente o que você listar:
✅ example.com
✅ www.example.com
✅ blog.example.com
❌ api.example.com (se não listado)
No GetHTTPS, basta inserir todos os subdomínios que você precisa.
Opcao 3: Certificado separado por subdomínio
Cada subdomínio recebe seu próprio certificado.
| Pros | Contras |
|---|---|
| Isolamento maximo (chaves separadas) | Maior overhead de gerenciamento |
| Cronogramas de renovação independentes | Um cert por subdomínio para rastrear |
| Comprometimento de um não afeta outros | Mais configuração de servidor |
| Funciona com HTTP-01 por subdomínio |
Melhor para: Subdomínios gerenciados por equipes diferentes, ou quando isolamento de segurança importa.
Tabela de comparacao
| Wildcard | SAN | Separado | |
|---|---|---|---|
| Subdomínios cobertos | Todos (ilimitados) | Apenas os listados | Um por cert |
| Novos subdomínios | Automatico | Re-emissão necessária | Novo cert necessário |
| Tipo de desafio | Apenas DNS-01 | HTTP-01 ou DNS-01 | HTTP-01 ou DNS-01 |
| Certificados para gerenciar | 1 | 1 | N |
| Isolamento de segurança | Chave compartilhada | Chave compartilhada | Chaves isoladas |
| Custo (Let’s Encrypt) | Gratuito | Gratuito | Gratuito |
| Melhor para | Subdomínios dinamicos | Conjunto fixo (2-5) | Isolamento de equipe |
Cenarios comuns
”Eu tenho example.com e www.example.com”
→ Certificado SAN (mais simples). No GetHTTPS, insira ambos os nomes. Esta e a configuração mais comum.
”Eu rodo subdomínios www, blog, api, docs, staging”
→ Wildcard (*.example.com + example.com). Cobre todos os subdomínios atuais e futuros.
”Cada subdomínio e o site de um cliente diferente”
→ Certificados separados. Cada cliente gerencia o seu. Comprometimento de um não afeta os outros.
”Eu tenho example.com + example.org + subdomínios”
→ Certificado SAN combinando domínios + wildcard: example.com, *.example.com, example.org. O GetHTTPS suporta isso.
Perguntas frequentes
O *.example.com cobre o example.com em si?
Não. O domínio simples precisa ser listado separadamente. No GetHTTPS, adicione tanto *.example.com quanto example.com. Detalhes →
Posso misturar wildcard e domínios especificos em um certificado?
Sim. Um único certificado Let’s Encrypt pode incluir *.example.com, example.com e other.com como entradas SAN. Até 100 nomes por certificado.
Qual opcao e mais barata?
Todas as tres sao gratuitas com Let’s Encrypt via GetHTTPS. Algumas CAs comerciais cobram extra por wildcards ($200-500/ano) e por SAN ($10-50 cada). Com o Let’s Encrypt, custo nunca é um fator.
Meu subdomínio esta em um servidor diferente. Posso usar o mesmo certificado?
Sim. Instale os mesmos fullchain.pem e privkey.pem em ambos os servidores. O certificado não sabe em qual servidor esta — ele apenas válida o nome do domínio.