Wildcard SSL-сертификат защищает домен и все его поддомены одним сертификатом. Например, *.example.com покрывает www.example.com, blog.example.com, api.example.com и любой другой поддомен --- без перечисления каждого по отдельности.
С GetHTTPS вы можете получить wildcard-сертификат от Let’s Encrypt бесплатно. Большинство конкурентов (ZeroSSL, SSL For Free) берут плату за wildcard-сертификаты.
Предварительные требования
- Доменное имя, которое вы хотите защитить wildcard-сертификатом (например,
example.com) - Доступ к DNS-настройкам вашего домена --- wildcard-сертификаты требуют DNS-01 валидации (HTTP-01 не работает для wildcard)
- Современный браузер
Почему только DNS-01? HTTP-01 проверка валидирует одно имя хоста, размещая файл по адресу
http://hostname/.well-known/acme-challenge/.... Wildcard покрывает бесконечное количество поддоменов, поэтому нет единого сервера для размещения файла. DNS-01 подтверждает контроль над всем доменом через DNS TXT-запись.
Шаг 1: Откройте GetHTTPS
Перейдите на gethttps.com/app/setup. Ключ аккаунта и ключ сертификата будут сгенерированы автоматически в вашем браузере.
Шаг 2: Введите ваш wildcard-домен
Введите *.example.com (замените example.com на ваш домен).
Распространённые конфигурации:
| Что вы вводите | Что покрывается |
|---|---|
*.example.com | Все поддомены (www, blog, api и т.д.) |
*.example.com + example.com | Все поддомены + основной домен |
*.sub.example.com | Все под-поддомены sub.example.com |
Важно: Wildcard-сертификат для *.example.com не покрывает сам example.com (основной домен). Если вам нужны оба, добавьте example.com как отдельное имя --- GetHTTPS обработает оба в одном сертификате.
Шаг 3: Добавьте DNS TXT-запись
GetHTTPS покажет вам DNS TXT-запись, которую нужно создать:
- Имя записи:
_acme-challenge.example.com - Значение записи: Длинная случайная строка (различается каждый раз)
- Тип записи: TXT
Добавьте эту запись у вашего DNS-провайдера:
Cloudflare
- Перейдите в DNS -> Records -> Add record
- Type: TXT
- Name:
_acme-challenge(Cloudflare автоматически добавляет ваш домен) - Content: вставьте значение из GetHTTPS
- TTL: Auto
- Нажмите Save
AWS Route 53
- Перейдите в Hosted zones -> выберите ваш домен
- Нажмите Create record
- Record name:
_acme-challenge - Record type: TXT
- Value:
"вставьте-значение-сюда"(включите кавычки) - Нажмите Create records
GoDaddy
- Перейдите в DNS Management
- Нажмите Add в разделе Records
- Type: TXT
- Name:
_acme-challenge - Value: вставьте значение из GetHTTPS
- TTL: 1 Hour
- Нажмите Save
Namecheap
- Перейдите в Domain List -> Manage -> Advanced DNS
- Нажмите Add new record
- Type: TXT
- Host:
_acme-challenge - Value: вставьте значение из GetHTTPS
- TTL: Automatic
- Нажмите Save all changes
Шаг 4: Дождитесь распространения DNS
Изменения DNS занимают 1-5 минут для глобального распространения, иногда дольше в зависимости от провайдера и настроек TTL.
Функция предварительной проверки GetHTTPS запрашивает публичный DNS (через DNS-over-HTTPS API Google), чтобы убедиться, что ваша TXT-запись видна перед отправкой в Let’s Encrypt. Дождитесь прохождения предварительной проверки, прежде чем нажимать Verify.
Шаг 5: Подтвердите и скачайте
Как только предварительная проверка подтвердит наличие DNS-записи, нажмите Verify. Let’s Encrypt проверит проверку и выпустит ваш wildcard-сертификат.
Скачайте все четыре файла:
privkey.pem--- ваш приватный ключ (храните в секрете)cert.pem--- ваш wildcard-сертификатchain.pem--- промежуточный сертификатfullchain.pem--- cert + chain (нужен большинству серверов)
Шаг 6: Установите wildcard-сертификат
Установка аналогична любому SSL-сертификату. Используйте fullchain.pem и privkey.pem:
Nginx:
server {
listen 443 ssl http2;
server_name *.example.com example.com;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
}
Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias *.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Очистка
После выпуска сертификата вы можете удалить TXT-запись _acme-challenge из вашего DNS. Она нужна только во время валидации. При продлении вы создадите новую.
Почему GetHTTPS для wildcard?
Большинство браузерных SSL-инструментов берут плату за wildcard-сертификаты:
| Инструмент | Бесплатный wildcard? | Как |
|---|---|---|
| GetHTTPS | ✅ Да | DNS-01 через Let’s Encrypt |
| ZeroSSL | ❌ Только платно ($10/мес+) | --- |
| SSL For Free | ❌ Нет | --- |
| Certbot | ✅ Да | DNS-01, нужен CLI + root |
| acme.sh | ✅ Да | DNS-01, нужен CLI |
GetHTTPS --- единственный браузерный инструмент, предлагающий бесплатные wildcard-сертификаты. Без установки, без CLI, без root-доступа --- нужен только доступ к DNS.
Распространённые ошибки
Добавление *.example.com без example.com
Wildcard покрывает поддомены, но не основной домен. Если вы получите только *.example.com, посетители https://example.com (без www) увидят ошибку сертификата. Всегда добавляйте оба.
Недостаточное ожидание распространения DNS
Изменения DNS могут занять от 1 до 30 минут в зависимости от провайдера и настроек TTL. Не нажимайте Verify слишком рано --- предварительная проверка GetHTTPS покажет вам, когда запись станет видимой.
Создание CNAME вместо TXT-записи
Запись проверки должна быть типа TXT, а не CNAME, A или AAAA. Некоторые DNS-интерфейсы по умолчанию выбирают другой тип --- перепроверьте перед сохранением.
Оставление старых записей _acme-challenge
Если у вас есть устаревшая TXT-запись _acme-challenge от предыдущего сертификата, удалите её перед добавлением новой. Несколько TXT-записей с одинаковым именем могут сбить валидацию.
Часто задаваемые вопросы
Покрывает ли *.example.com сам example.com (основной домен)?
Нет. Wildcard-сертификат для *.example.com покрывает www.example.com, blog.example.com и т.д., но не сам example.com. Добавьте в GetHTTPS и *.example.com, и example.com, чтобы покрыть оба варианта.
Покрывает ли он под-поддомены вроде a.b.example.com?
Нет. *.example.com покрывает только один уровень поддоменов. Для *.sub.example.com потребуется отдельный wildcard.
Можно ли получить wildcard-сертификат от ZeroSSL бесплатно?
Нет. ZeroSSL ограничивает wildcard-сертификаты платными планами. Let’s Encrypt (через GetHTTPS) предлагает wildcard-сертификаты бесплатно.
Как часто нужно продлевать?
Каждые 90 дней, как и любой сертификат Let’s Encrypt. При каждом продлении нужно создавать новую DNS TXT-запись. С предстоящим ограничением срока действия до 47 дней (к 2029 году) продление станет более частым.
Безопасен ли DNS-01? Я изменяю свой DNS.
Да. Вы только добавляете TXT-запись --- это не влияет на трафик вашего сайта, электронную почту или какие-либо другие DNS-записи. Поддомен _acme-challenge специально предназначен для ACME-валидации.