Um certificado SSL wildcard protege um domínio e todos os seus subdomínios com um único certificado. Em vez de obter certificados separados para www.example.com, blog.example.com e api.example.com, um único wildcard *.example.com cobre todos eles.
Como wildcards funcionam
O caractere wildcard * corresponde a qualquer subdomínio de nível único:
| Certificado | Cobre | Não cobre |
|---|---|---|
*.example.com | www.example.com, blog.example.com, api.example.com, qualquercoisa.example.com | example.com (domínio raiz), sub.blog.example.com (aninhado) |
*.example.com + example.com | Todos os subdomínios + o domínio raiz | Subdomínios aninhados |
*.sub.example.com | a.sub.example.com, b.sub.example.com | sub.example.com, example.com |
Limitacao principal: Wildcards correspondem apenas a um nível. *.example.com NAO cobre a.b.example.com.
Wildcard vs multi-domínio (SAN)
| Wildcard | Multi-domínio (SAN) | |
|---|---|---|
| Cobre | Todos os subdomínios em um nível | Domínios especificos listados |
| Flexibilidade | Qualquer subdomínio funciona automaticamente | Deve listar cada domínio explicitamente |
| Novos subdomínios | Cobertos instantaneamente | Requer novo certificado |
| Entre domínios | Não (um domínio base) | Sim (example.com + other.com) |
| DNS-01 necessário | ✅ Sim | Não (HTTP-01 ou DNS-01) |
Use wildcard quando: Você tem muitos subdomínios ou adiciona novos frequentemente. Use SAN quando: Você tem um conjunto pequeno e fixo de domínios/subdomínios especificos.
Quando usar um certificado wildcard
Bons casos de uso:
- Você roda muitos subdomínios (
app.,api.,docs.,blog.,staging., etc.) e não quer gerenciar um certificado separado para cada um - Você frequentemente adiciona novos subdomínios — eles sao cobertos automaticamente sem re-emissão
- Ambientes de desenvolvimento/staging onde nomes de subdomínios mudam frequentemente
Quando wildcards não se encaixam:
- Você precisa cobrir domínios base diferentes (
example.com+example.org) — use um certificado SAN em vez disso - Você precisa de isolamento por subdomínio — se a chave de um subdomínio for comprometida, o certificado wildcard cobre todos os subdomínios
- Você não pode modificar registros DNS — emissão de wildcard requer DNS-01, que precisa de acesso DNS
Consideracoes de segurança
Um certificado wildcard significa que uma chave privada protege todos os subdomínios. Se a chave for comprometida, um atacante pode se passar por qualquer subdomínio — não apenas um.
Mitigacoes:
- Restrinja acesso a chave privada — apenas o(s) servidor(es) que precisam devem ter o arquivo da chave
- Use certificados de curta duracao — a validade de 90 dias do Let’s Encrypt limita a janela de exposicao
- Considere certificados separados para subdomínios de alta segurança (ex:
admin.example.compode merecer seu próprio cert)
Obtendo um certificado wildcard gratuito
Let’s Encrypt suporta certificados wildcard via desafio DNS-01 sem custo. A maioria dos concorrentes (ZeroSSL, SSL For Free) restringe wildcards a planos pagos.
Com GetHTTPS:
- Insira
*.example.com(+example.comse você quiser o domínio raiz) - Adicione o registro TXT DNS que o GetHTTPS fornece
- Aguarde a propagação DNS (GetHTTPS pre-verifica isso para você)
- Verifique e baixe seus arquivos de certificado
Guia wildcard passo a passo completo →
Instalando um certificado wildcard
Mesmo que qualquer certificado — o servidor não sabe que é um wildcard:
Nginx:
server {
listen 443 ssl http2;
server_name *.example.com example.com;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}
Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias *.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Perguntas frequentes
Por que não posso usar HTTP-01 para wildcards?
HTTP-01 válida um hostname especifico colocando um arquivo em http://hostname/.well-known/acme-challenge/.... Um wildcard cobre subdomínios infinitos — não ha um único servidor para colocar o arquivo. DNS-01 prova controle de todo o domínio através de um registro TXT no nível da zona.
*.example.com cobre example.com?
Não. O domínio raiz e separado. Adicione tanto *.example.com quanto example.com a sua solicitacao de certificado. GetHTTPS e Certbot ambos suportam isso em um único certificado.
Posso obter um wildcard gratuito do ZeroSSL?
Não. ZeroSSL restringe certificados wildcard a planos pagos ($10/mes+). Let’s Encrypt oferece wildcards gratuitamente.
Posso ter múltiplos certificados wildcard para o mesmo domínio?
Sim. Não ha limite técnico. Você poderia ter *.example.com e *.staging.example.com como certificados separados. O limite de taxa do Let’s Encrypt e 50 certificados por domínio registrado por semana.
Um certificado wildcard cobre subdomínios aninhados?
Não. *.example.com cobre www.example.com e api.example.com mas NAO dev.api.example.com. Para subdomínios aninhados, você precisa de um wildcard separado como *.api.example.com.
Como testo se meu certificado wildcard esta funcionando para um subdomínio especifico?
Aponte o DNS do subdomínio para seu servidor, depois teste:
echo | openssl s_client -connect subdomain.example.com:443 -servername subdomain.example.com 2>/dev/null | openssl x509 -noout -subject -dates
O certificado deve mostrar CN=*.example.com ou *.example.com no campo SAN. Se você receber um erro de conexão, o DNS do subdomínio não esta apontando para o servidor que hospeda o certificado wildcard.
Posso usar um certificado wildcard em múltiplos servidores?
Sim. Instale os mesmos fullchain.pem e privkey.pem em cada servidor que trata subdomínios. O certificado não sabe em qual servidor esta — ele apenas válida o hostname.