Вам нужен HTTPS на поддомене (blog.example.com, api.example.com, staging.example.com). Три варианта:
Вариант 1: Wildcard-сертификат (*.example.com)
Один сертификат автоматически покрывает все поддомены — включая те, которые вы создадите в будущем.
| Плюсы | Минусы |
|---|---|
| Покрывает неограниченное количество поддоменов | Требует DNS-01 проверку (нужен доступ к DNS) |
| Новые поддомены работают мгновенно | Один закрытый ключ для всех поддоменов (общий риск) |
| Только 1 сертификат для управления | Не покрывает вложенные поддомены (a.b.example.com) |
| Бесплатно от Let’s Encrypt | Не покрывает основной домен (добавьте example.com отдельно) |
Лучше всего для: множества поддоменов, частого добавления новых.
*.example.com покрывает:
✅ www.example.com
✅ blog.example.com
✅ api.example.com
✅ staging.example.com
✅ anything.example.com
❌ example.com (добавить отдельно)
❌ sub.blog.example.com (вложенный)
Как получить wildcard-сертификат →
Вариант 2: SAN-сертификат (перечисление конкретных поддоменов)
Явно перечислите каждый поддомен в поле Subject Alternative Name сертификата.
| Плюсы | Минусы |
|---|---|
| Можно использовать HTTP-01 проверку (проще) | Нужно явно перечислить каждый поддомен |
| Можно комбинировать разные базовые домены | Добавление поддомена требует нового сертификата |
| Каждое имя валидируется индивидуально | Лимит Let’s Encrypt: 100 имён на сертификат |
| Бесплатно от Let’s Encrypt | Больше управления, если поддомены часто меняются |
Лучше всего для: небольшого, фиксированного набора поддоменов (2-5).
SAN-сертификат покрывает именно то, что вы перечислите:
✅ example.com
✅ www.example.com
✅ blog.example.com
❌ api.example.com (если не указан)
В GetHTTPS просто введите все нужные поддомены.
Вариант 3: Отдельный сертификат для каждого поддомена
Каждый поддомен получает свой сертификат.
| Плюсы | Минусы |
|---|---|
| Максимальная изоляция (отдельные ключи) | Наибольшие накладные расходы на управление |
| Независимые графики обновления | Нужно отслеживать по одному сертификату на поддомен |
| Компрометация одного не влияет на другие | Больше настроек сервера |
| Работает с HTTP-01 для каждого поддомена |
Лучше всего для: поддоменов, управляемых разными командами, или когда важна изоляция безопасности.
Сравнительная таблица
| Wildcard | SAN | Отдельные | |
|---|---|---|---|
| Покрытие поддоменов | Все (неограниченно) | Только перечисленные | По одному на сертификат |
| Новые поддомены | Автоматически | Требуется перевыпуск | Нужен новый сертификат |
| Тип проверки | Только DNS-01 | HTTP-01 или DNS-01 | HTTP-01 или DNS-01 |
| Сертификатов для управления | 1 | 1 | N |
| Изоляция безопасности | Общий ключ | Общий ключ | Изолированные ключи |
| Стоимость (Let’s Encrypt) | Бесплатно | Бесплатно | Бесплатно |
| Лучше всего для | Динамические поддомены | Фиксированный набор (2-5) | Изоляция между командами |
Типичные сценарии
«У меня example.com и www.example.com»
→ SAN-сертификат (самый простой). В GetHTTPS введите оба имени. Это самая распространённая конфигурация.
«У меня поддомены www, blog, api, docs, staging»
→ Wildcard (*.example.com + example.com). Покрывает все текущие и будущие поддомены.
«Каждый поддомен — это сайт отдельного клиента»
→ Отдельные сертификаты. Каждый клиент управляет своим. Компрометация одного не влияет на другие.
«У меня example.com + example.org + поддомены»
→ SAN-сертификат, комбинирующий домены + wildcard: example.com, *.example.com, example.org. GetHTTPS это поддерживает.
Часто задаваемые вопросы
*.example.com покрывает сам example.com?
Нет. Основной домен нужно указать отдельно. В GetHTTPS добавьте и *.example.com, и example.com. Подробнее →
Можно ли комбинировать wildcard и конкретные домены в одном сертификате?
Да. Один сертификат Let’s Encrypt может включать *.example.com, example.com и other.com в качестве записей SAN. До 100 имён на сертификат.
Какой вариант самый дешёвый?
Все три бесплатны с Let’s Encrypt через GetHTTPS. Некоторые коммерческие CA берут дополнительную плату за wildcard ($200-500/год) и за каждый SAN ($10-50). С Let’s Encrypt стоимость никогда не является фактором.
Мой поддомен на другом сервере. Можно ли использовать тот же сертификат?
Да. Установите те же файлы fullchain.pem и privkey.pem на оба сервера. Сертификат не знает, на каком сервере он установлен — он только валидирует доменное имя.