Все статьи о SSL SSL и сертификаты

SSL-сертификаты для поддоменов: ваши варианты

Вам нужен HTTPS на поддомене (blog.example.com, api.example.com, staging.example.com). Три варианта:

Вариант 1: Wildcard-сертификат (*.example.com)

Один сертификат автоматически покрывает все поддомены — включая те, которые вы создадите в будущем.

ПлюсыМинусы
Покрывает неограниченное количество поддоменовТребует DNS-01 проверку (нужен доступ к DNS)
Новые поддомены работают мгновенноОдин закрытый ключ для всех поддоменов (общий риск)
Только 1 сертификат для управленияНе покрывает вложенные поддомены (a.b.example.com)
Бесплатно от Let’s EncryptНе покрывает основной домен (добавьте example.com отдельно)

Лучше всего для: множества поддоменов, частого добавления новых.

*.example.com покрывает:
  ✅ www.example.com
  ✅ blog.example.com
  ✅ api.example.com
  ✅ staging.example.com
  ✅ anything.example.com
  ❌ example.com (добавить отдельно)
  ❌ sub.blog.example.com (вложенный)

Как получить wildcard-сертификат →

Вариант 2: SAN-сертификат (перечисление конкретных поддоменов)

Явно перечислите каждый поддомен в поле Subject Alternative Name сертификата.

ПлюсыМинусы
Можно использовать HTTP-01 проверку (проще)Нужно явно перечислить каждый поддомен
Можно комбинировать разные базовые доменыДобавление поддомена требует нового сертификата
Каждое имя валидируется индивидуальноЛимит Let’s Encrypt: 100 имён на сертификат
Бесплатно от Let’s EncryptБольше управления, если поддомены часто меняются

Лучше всего для: небольшого, фиксированного набора поддоменов (2-5).

SAN-сертификат покрывает именно то, что вы перечислите:
  ✅ example.com
  ✅ www.example.com
  ✅ blog.example.com
  ❌ api.example.com (если не указан)

В GetHTTPS просто введите все нужные поддомены.

Вариант 3: Отдельный сертификат для каждого поддомена

Каждый поддомен получает свой сертификат.

ПлюсыМинусы
Максимальная изоляция (отдельные ключи)Наибольшие накладные расходы на управление
Независимые графики обновленияНужно отслеживать по одному сертификату на поддомен
Компрометация одного не влияет на другиеБольше настроек сервера
Работает с HTTP-01 для каждого поддомена

Лучше всего для: поддоменов, управляемых разными командами, или когда важна изоляция безопасности.

Сравнительная таблица

WildcardSANОтдельные
Покрытие поддоменовВсе (неограниченно)Только перечисленныеПо одному на сертификат
Новые поддоменыАвтоматическиТребуется перевыпускНужен новый сертификат
Тип проверкиТолько DNS-01HTTP-01 или DNS-01HTTP-01 или DNS-01
Сертификатов для управления11N
Изоляция безопасностиОбщий ключОбщий ключИзолированные ключи
Стоимость (Let’s Encrypt)БесплатноБесплатноБесплатно
Лучше всего дляДинамические поддоменыФиксированный набор (2-5)Изоляция между командами

Типичные сценарии

«У меня example.com и www.example.com»

SAN-сертификат (самый простой). В GetHTTPS введите оба имени. Это самая распространённая конфигурация.

«У меня поддомены www, blog, api, docs, staging»

Wildcard (*.example.com + example.com). Покрывает все текущие и будущие поддомены.

«Каждый поддомен — это сайт отдельного клиента»

Отдельные сертификаты. Каждый клиент управляет своим. Компрометация одного не влияет на другие.

«У меня example.com + example.org + поддомены»

SAN-сертификат, комбинирующий домены + wildcard: example.com, *.example.com, example.org. GetHTTPS это поддерживает.

Часто задаваемые вопросы

*.example.com покрывает сам example.com?

Нет. Основной домен нужно указать отдельно. В GetHTTPS добавьте и *.example.com, и example.com. Подробнее →

Можно ли комбинировать wildcard и конкретные домены в одном сертификате?

Да. Один сертификат Let’s Encrypt может включать *.example.com, example.com и other.com в качестве записей SAN. До 100 имён на сертификат.

Какой вариант самый дешёвый?

Все три бесплатны с Let’s Encrypt через GetHTTPS. Некоторые коммерческие CA берут дополнительную плату за wildcard ($200-500/год) и за каждый SAN ($10-50). С Let’s Encrypt стоимость никогда не является фактором.

Мой поддомен на другом сервере. Можно ли использовать тот же сертификат?

Да. Установите те же файлы fullchain.pem и privkey.pem на оба сервера. Сертификат не знает, на каком сервере он установлен — он только валидирует доменное имя.

Похожие статьи

SSL и сертификаты 2026-05-07
Wildcard SSL-сертификаты: полное руководство
Wildcard-сертификат (*.example.com) защищает все поддомены одним сертификатом. Узнайте, как работают wildcard-сертификаты, их ограничения и как получить их бесплатно.
SSL и сертификаты 2026-05-07
Мультидоменные SSL-сертификаты (SAN)
Мультидоменный SAN-сертификат защищает несколько разных доменов в одном сертификате. Узнайте, как работает SAN, когда использовать его вместо wildcard и как получить его через GetHTTPS.
Начало работы 2026-05-07
Как получить бесплатный Wildcard SSL-сертификат
Получите бесплатный wildcard SSL-сертификат (*.example.com) от Let's Encrypt с помощью GetHTTPS. Требуется только DNS-01 проверка. Инструкции для Cloudflare, Route 53, GoDaddy и Namecheap.
SSL и сертификаты 2026-05-08
Какой SSL-сертификат мне нужен? Руководство по выбору
Не знаете, какой SSL-сертификат выбрать? Воспользуйтесь этим руководством. Охватывает DV, OV и EV, одиночные, wildcard и мультидоменные сертификаты, бесплатные и платные варианты, а также рекомендации для каждого сценария.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат