Todos os artigos sobre SSL SSL e certificados

Entendendo Certificados SSL Wildcard

Um certificado SSL wildcard protege um domínio e todos os seus subdomínios com um único certificado. Em vez de obter certificados separados para www.example.com, blog.example.com e api.example.com, um único wildcard *.example.com cobre todos eles.

Como wildcards funcionam

O caractere wildcard * corresponde a qualquer subdomínio de nível único:

CertificadoCobreNão cobre
*.example.comwww.example.com, blog.example.com, api.example.com, qualquercoisa.example.comexample.com (domínio raiz), sub.blog.example.com (aninhado)
*.example.com + example.comTodos os subdomínios + o domínio raizSubdomínios aninhados
*.sub.example.coma.sub.example.com, b.sub.example.comsub.example.com, example.com

Limitacao principal: Wildcards correspondem apenas a um nível. *.example.com NAO cobre a.b.example.com.

Wildcard vs multi-domínio (SAN)

WildcardMulti-domínio (SAN)
CobreTodos os subdomínios em um nívelDomínios especificos listados
FlexibilidadeQualquer subdomínio funciona automaticamenteDeve listar cada domínio explicitamente
Novos subdomíniosCobertos instantaneamenteRequer novo certificado
Entre domíniosNão (um domínio base)Sim (example.com + other.com)
DNS-01 necessário✅ SimNão (HTTP-01 ou DNS-01)

Use wildcard quando: Você tem muitos subdomínios ou adiciona novos frequentemente. Use SAN quando: Você tem um conjunto pequeno e fixo de domínios/subdomínios especificos.

Quando usar um certificado wildcard

Bons casos de uso:

  • Você roda muitos subdomínios (app., api., docs., blog., staging., etc.) e não quer gerenciar um certificado separado para cada um
  • Você frequentemente adiciona novos subdomínios — eles sao cobertos automaticamente sem re-emissão
  • Ambientes de desenvolvimento/staging onde nomes de subdomínios mudam frequentemente

Quando wildcards não se encaixam:

  • Você precisa cobrir domínios base diferentes (example.com + example.org) — use um certificado SAN em vez disso
  • Você precisa de isolamento por subdomínio — se a chave de um subdomínio for comprometida, o certificado wildcard cobre todos os subdomínios
  • Você não pode modificar registros DNS — emissão de wildcard requer DNS-01, que precisa de acesso DNS

Consideracoes de segurança

Um certificado wildcard significa que uma chave privada protege todos os subdomínios. Se a chave for comprometida, um atacante pode se passar por qualquer subdomínio — não apenas um.

Mitigacoes:

  • Restrinja acesso a chave privada — apenas o(s) servidor(es) que precisam devem ter o arquivo da chave
  • Use certificados de curta duracao — a validade de 90 dias do Let’s Encrypt limita a janela de exposicao
  • Considere certificados separados para subdomínios de alta segurança (ex: admin.example.com pode merecer seu próprio cert)

Obtendo um certificado wildcard gratuito

Let’s Encrypt suporta certificados wildcard via desafio DNS-01 sem custo. A maioria dos concorrentes (ZeroSSL, SSL For Free) restringe wildcards a planos pagos.

Com GetHTTPS:

  1. Insira *.example.com (+ example.com se você quiser o domínio raiz)
  2. Adicione o registro TXT DNS que o GetHTTPS fornece
  3. Aguarde a propagação DNS (GetHTTPS pre-verifica isso para você)
  4. Verifique e baixe seus arquivos de certificado

Guia wildcard passo a passo completo →

Instalando um certificado wildcard

Mesmo que qualquer certificado — o servidor não sabe que é um wildcard:

Nginx:

server {
    listen 443 ssl http2;
    server_name *.example.com example.com;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;
}

Apache:

<VirtualHost *:443>
    ServerName example.com
    ServerAlias *.example.com

    SSLEngine on
    SSLCertificateFile /etc/ssl/cert.pem
    SSLCertificateKeyFile /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Perguntas frequentes

Por que não posso usar HTTP-01 para wildcards?

HTTP-01 válida um hostname especifico colocando um arquivo em http://hostname/.well-known/acme-challenge/.... Um wildcard cobre subdomínios infinitos — não ha um único servidor para colocar o arquivo. DNS-01 prova controle de todo o domínio através de um registro TXT no nível da zona.

*.example.com cobre example.com?

Não. O domínio raiz e separado. Adicione tanto *.example.com quanto example.com a sua solicitacao de certificado. GetHTTPS e Certbot ambos suportam isso em um único certificado.

Posso obter um wildcard gratuito do ZeroSSL?

Não. ZeroSSL restringe certificados wildcard a planos pagos ($10/mes+). Let’s Encrypt oferece wildcards gratuitamente.

Posso ter múltiplos certificados wildcard para o mesmo domínio?

Sim. Não ha limite técnico. Você poderia ter *.example.com e *.staging.example.com como certificados separados. O limite de taxa do Let’s Encrypt e 50 certificados por domínio registrado por semana.

Um certificado wildcard cobre subdomínios aninhados?

Não. *.example.com cobre www.example.com e api.example.com mas NAO dev.api.example.com. Para subdomínios aninhados, você precisa de um wildcard separado como *.api.example.com.

Como testo se meu certificado wildcard esta funcionando para um subdomínio especifico?

Aponte o DNS do subdomínio para seu servidor, depois teste:

echo | openssl s_client -connect subdomain.example.com:443 -servername subdomain.example.com 2>/dev/null | openssl x509 -noout -subject -dates

O certificado deve mostrar CN=*.example.com ou *.example.com no campo SAN. Se você receber um erro de conexão, o DNS do subdomínio não esta apontando para o servidor que hospeda o certificado wildcard.

Posso usar um certificado wildcard em múltiplos servidores?

Sim. Instale os mesmos fullchain.pem e privkey.pem em cada servidor que trata subdomínios. O certificado não sabe em qual servidor esta — ele apenas válida o hostname.

Artigos relacionados

Primeiros passos 2026-05-07
Como obter um certificado SSL wildcard gratuito
Obtenha um certificado SSL wildcard gratuito (*.example.com) do Let's Encrypt usando GetHTTPS. Requer apenas desafio DNS-01. Abrange configuração de DNS no Cloudflare, Route 53, GoDaddy e Namecheap.
SSL e certificados 2026-05-07
Certificados SSL Multi-Domínio (SAN)
Um certificado SAN multi-domínio protege varios domínios diferentes em um único certificado. Aprenda como o SAN funciona, quando usa-lo em vez do wildcard, e como obter um com o GetHTTPS.
SSL e certificados 2026-05-07
Tipos de Certificados SSL Explicados: DV, OV e EV
Compare certificados SSL de Válidação de Domínio (DV), Válidação de Organização (OV) e Válidação Estendida (EV). Aprenda as diferencas em verificação, custo e quando você realmente precisa de cada tipo.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado