Все руководства для начинающих Начало работы

Как получить бесплатный Wildcard SSL-сертификат

Wildcard SSL-сертификат защищает домен и все его поддомены одним сертификатом. Например, *.example.com покрывает www.example.com, blog.example.com, api.example.com и любой другой поддомен --- без перечисления каждого по отдельности.

С GetHTTPS вы можете получить wildcard-сертификат от Let’s Encrypt бесплатно. Большинство конкурентов (ZeroSSL, SSL For Free) берут плату за wildcard-сертификаты.

Предварительные требования

  • Доменное имя, которое вы хотите защитить wildcard-сертификатом (например, example.com)
  • Доступ к DNS-настройкам вашего домена --- wildcard-сертификаты требуют DNS-01 валидации (HTTP-01 не работает для wildcard)
  • Современный браузер

Почему только DNS-01? HTTP-01 проверка валидирует одно имя хоста, размещая файл по адресу http://hostname/.well-known/acme-challenge/.... Wildcard покрывает бесконечное количество поддоменов, поэтому нет единого сервера для размещения файла. DNS-01 подтверждает контроль над всем доменом через DNS TXT-запись.

Шаг 1: Откройте GetHTTPS

Перейдите на gethttps.com/app/setup. Ключ аккаунта и ключ сертификата будут сгенерированы автоматически в вашем браузере.

Шаг 2: Введите ваш wildcard-домен

Введите *.example.com (замените example.com на ваш домен).

Распространённые конфигурации:

Что вы вводитеЧто покрывается
*.example.comВсе поддомены (www, blog, api и т.д.)
*.example.com + example.comВсе поддомены + основной домен
*.sub.example.comВсе под-поддомены sub.example.com

Важно: Wildcard-сертификат для *.example.com не покрывает сам example.com (основной домен). Если вам нужны оба, добавьте example.com как отдельное имя --- GetHTTPS обработает оба в одном сертификате.

Шаг 3: Добавьте DNS TXT-запись

GetHTTPS покажет вам DNS TXT-запись, которую нужно создать:

  • Имя записи: _acme-challenge.example.com
  • Значение записи: Длинная случайная строка (различается каждый раз)
  • Тип записи: TXT

Добавьте эту запись у вашего DNS-провайдера:

Cloudflare

  1. Перейдите в DNS -> Records -> Add record
  2. Type: TXT
  3. Name: _acme-challenge (Cloudflare автоматически добавляет ваш домен)
  4. Content: вставьте значение из GetHTTPS
  5. TTL: Auto
  6. Нажмите Save

AWS Route 53

  1. Перейдите в Hosted zones -> выберите ваш домен
  2. Нажмите Create record
  3. Record name: _acme-challenge
  4. Record type: TXT
  5. Value: "вставьте-значение-сюда" (включите кавычки)
  6. Нажмите Create records

GoDaddy

  1. Перейдите в DNS Management
  2. Нажмите Add в разделе Records
  3. Type: TXT
  4. Name: _acme-challenge
  5. Value: вставьте значение из GetHTTPS
  6. TTL: 1 Hour
  7. Нажмите Save

Namecheap

  1. Перейдите в Domain List -> Manage -> Advanced DNS
  2. Нажмите Add new record
  3. Type: TXT
  4. Host: _acme-challenge
  5. Value: вставьте значение из GetHTTPS
  6. TTL: Automatic
  7. Нажмите Save all changes

Шаг 4: Дождитесь распространения DNS

Изменения DNS занимают 1-5 минут для глобального распространения, иногда дольше в зависимости от провайдера и настроек TTL.

Функция предварительной проверки GetHTTPS запрашивает публичный DNS (через DNS-over-HTTPS API Google), чтобы убедиться, что ваша TXT-запись видна перед отправкой в Let’s Encrypt. Дождитесь прохождения предварительной проверки, прежде чем нажимать Verify.

Шаг 5: Подтвердите и скачайте

Как только предварительная проверка подтвердит наличие DNS-записи, нажмите Verify. Let’s Encrypt проверит проверку и выпустит ваш wildcard-сертификат.

Скачайте все четыре файла:

  • privkey.pem --- ваш приватный ключ (храните в секрете)
  • cert.pem --- ваш wildcard-сертификат
  • chain.pem --- промежуточный сертификат
  • fullchain.pem --- cert + chain (нужен большинству серверов)

Шаг 6: Установите wildcard-сертификат

Установка аналогична любому SSL-сертификату. Используйте fullchain.pem и privkey.pem:

Nginx:

server {
    listen 443 ssl http2;
    server_name *.example.com example.com;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
}

Apache:

<VirtualHost *:443>
    ServerName example.com
    ServerAlias *.example.com

    SSLEngine on
    SSLCertificateFile      /etc/ssl/cert.pem
    SSLCertificateKeyFile   /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Очистка

После выпуска сертификата вы можете удалить TXT-запись _acme-challenge из вашего DNS. Она нужна только во время валидации. При продлении вы создадите новую.

Почему GetHTTPS для wildcard?

Большинство браузерных SSL-инструментов берут плату за wildcard-сертификаты:

ИнструментБесплатный wildcard?Как
GetHTTPS✅ ДаDNS-01 через Let’s Encrypt
ZeroSSL❌ Только платно ($10/мес+)---
SSL For Free❌ Нет---
Certbot✅ ДаDNS-01, нужен CLI + root
acme.sh✅ ДаDNS-01, нужен CLI

GetHTTPS --- единственный браузерный инструмент, предлагающий бесплатные wildcard-сертификаты. Без установки, без CLI, без root-доступа --- нужен только доступ к DNS.

Распространённые ошибки

Добавление *.example.com без example.com

Wildcard покрывает поддомены, но не основной домен. Если вы получите только *.example.com, посетители https://example.com (без www) увидят ошибку сертификата. Всегда добавляйте оба.

Недостаточное ожидание распространения DNS

Изменения DNS могут занять от 1 до 30 минут в зависимости от провайдера и настроек TTL. Не нажимайте Verify слишком рано --- предварительная проверка GetHTTPS покажет вам, когда запись станет видимой.

Создание CNAME вместо TXT-записи

Запись проверки должна быть типа TXT, а не CNAME, A или AAAA. Некоторые DNS-интерфейсы по умолчанию выбирают другой тип --- перепроверьте перед сохранением.

Оставление старых записей _acme-challenge

Если у вас есть устаревшая TXT-запись _acme-challenge от предыдущего сертификата, удалите её перед добавлением новой. Несколько TXT-записей с одинаковым именем могут сбить валидацию.

Часто задаваемые вопросы

Покрывает ли *.example.com сам example.com (основной домен)?

Нет. Wildcard-сертификат для *.example.com покрывает www.example.com, blog.example.com и т.д., но не сам example.com. Добавьте в GetHTTPS и *.example.com, и example.com, чтобы покрыть оба варианта.

Покрывает ли он под-поддомены вроде a.b.example.com?

Нет. *.example.com покрывает только один уровень поддоменов. Для *.sub.example.com потребуется отдельный wildcard.

Можно ли получить wildcard-сертификат от ZeroSSL бесплатно?

Нет. ZeroSSL ограничивает wildcard-сертификаты платными планами. Let’s Encrypt (через GetHTTPS) предлагает wildcard-сертификаты бесплатно.

Как часто нужно продлевать?

Каждые 90 дней, как и любой сертификат Let’s Encrypt. При каждом продлении нужно создавать новую DNS TXT-запись. С предстоящим ограничением срока действия до 47 дней (к 2029 году) продление станет более частым.

Безопасен ли DNS-01? Я изменяю свой DNS.

Да. Вы только добавляете TXT-запись --- это не влияет на трафик вашего сайта, электронную почту или какие-либо другие DNS-записи. Поддомен _acme-challenge специально предназначен для ACME-валидации.

Похожие статьи

Начало работы 2026-05-08
Как получить бесплатный SSL-сертификат (пошаговое руководство)
Получите бесплатный SSL-сертификат от Let's Encrypt за 5 минут --- без установки программ, без создания аккаунта. Полное руководство: 4 метода, оба типа проверки, установка на 6 платформах и устранение неполадок.
Начало работы 2026-05-08
DNS-01 Challenge: как это работает и как его пройти
DNS-01 валидация подтверждает владение доменом путём добавления TXT-записи в DNS. Обязательна для wildcard-сертификатов. Инструкции для Cloudflare, Route 53, GoDaddy, Namecheap и других.
Сравнение 2026-05-08
Лучшие бесплатные SSL-провайдеры в 2026 году (сравнение)
Сравнение 9 бесплатных SSL-провайдеров по конфиденциальности, лимитам, поддержке wildcard и автоматизации. Включает самостоятельные удостоверяющие центры, хостинг-провайдеров и CDN — с анализом конфиденциальности, которого нет ни в одном другом сравнении.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат