Wildcard SSL
Один сертификат для всех поддоменов
Wildcard SSL — сертификат, который покрывает домен сразу со всеми поддоменами одного уровня. Он записывается как *.example.com и защищает www.example.com, shop.example.com, api.example.com и сколько угодно адресов, пока они находятся ровно на один уровень ниже основного домена.
Шифрование работает так же, как у обычного SSL: между браузером и сервером передаются только зашифрованные данные, исчезают предупреждения о «незащищённом соединении», растёт доверие к сайту.
Границы покрытия: один уровень — не больше
Главное правило Wildcard
Он закрывает только один уровень поддоменов. То есть *.example.com не затронет a.b.example.com
Покрывается *.example.com
www.example.com
shop.example.com
api.example.com
cdn.example.com
НЕ покрывается *.example.com
a.b.example.com
test.api.example.com
Важный нюанс
Корневое имя example.com формально не входит в *.example.com. Многие провайдеры добавляют его в сертификат как отдельный SAN по умолчанию, но это не железное правило, и перед покупкой лучше уточнить, входит ли сам домен в покрытие.
Когда это уместно
Wildcard SSL — хороший выбор, если вы знаете, что поддоменов много и они будут появляться/исчезать:
Тестовые среды
dev.example.com, staging.example.com, preview.example.com
Микросервисы
api.example.com, auth.example.com, payment.example.com
Региональные версии
ru.example.com, en.example.com, de.example.com
Разделение по функциям
cdn.example.com, status.example.com, help.example.com
Один сертификат закрывает весь этот «парк», избавляет от рутины с выпуском и продлением множества отдельных сертификатов и упрощает DevOps-процессы.
Когда может быть избыточно
Несколько разных доменов
Если у вас несколько разных доменов (например, example.com, example.net и партнёрские бренды), Wildcard не поможет — он работает только внутри одного домена.
В таких сценариях логичнее взять Multi-Domain (SAN/UCC) и перечислить нужные имена.
Поддомены глубже одного уровня
А если поддомены уходят глубже одного уровня, подумайте о пересмотре архитектуры адресов или комбинируйте:
Wildcard для слоя *.example.com плюс точечные сертификаты на редкие исключения.
Технические нюансы и совместимость
По возможностям шифрования Wildcard ничем не отличается от обычных сертификатов: поддерживаются современные наборы шифров, HTTP/2 и HTTP/3, SNI и работа за CDN.
Для каких проектов подойдёт
Маркетплейсы и SaaS
Проекты с активным использованием поддоменов: маркетплейсы, SaaS-сервисы, мульти-региональные сайты
Автоматическое создание
Команды, где поддомены создаются автоматически (staging, preview, клиентские окружения)
Микросервисная архитектура
Инфраструктуры с микросервисами и отдельными зонами (api., auth., cdn., docs.), где важны единые правила безопасности
Вывод
Wildcard SSL экономит время и убирает все проблемы, когда поддоменов много и структура развивается. Один сертификат закрывает весь слой адресов, упрощает сопровождение и помогает избежать «дыр» при появлении новых хостов.
Если же у вас несколько разных доменных зон или требуется покрыть имена на разных уровнях, посмотрите в сторону Multi-Domain или комбинированного подхода — так вы подгоните защиту под реальную карту доменов, не переплачивая за лишнее.