使用 *.example.com 的萬用字元格式,一張憑證即可保護主域名下的所有一層子域名。無論您現在有幾個子域名、未來新增多少個,都自動受到保護。
一張憑證保護 *.example.com 下的所有一層子域名,數量不限。
未來新增的子域名自動受到保護,無需重新申請或修改憑證。
價格約為單域名 2-3 倍,擁有 3 個以上子域名時即具成本優勢。
萬用字元憑證必須使用 DNS 驗證方式來證明域名所有權。
萬用字元 SSL 憑證(Wildcard SSL Certificate)使用星號(*)作為萬用字元,可以保護一個主域名及其下所有一層子域名。例如,購買 *.example.com 的萬用字元憑證後,www.example.com、shop.example.com、blog.example.com 以及任何其他 xxx.example.com 格式的子域名都會自動受到保護。
萬用字元憑證最大的特點是前瞻性:您不需要在申請時列出所有子域名。在憑證有效期內,無論您新增多少個子域名,它們都會自動獲得 SSL 保護,完全不需要重新申請或修改憑證。
萬用字元 * 只代表一層。*.example.com 可以保護 www.example.com、shop.example.com,但不能保護 sub.shop.example.com(二層子域名)。如果需要保護二層子域名,需要額外購買 *.shop.example.com 的萬用字元憑證。
以 *.example.com 為例,以下是完整的涵蓋範圍:
| 域名 | 是否受保護? | 說明 |
|---|---|---|
www.example.com |
✅ 是 | 一層子域名,受萬用字元保護 |
shop.example.com |
✅ 是 | 一層子域名,受萬用字元保護 |
blog.example.com |
✅ 是 | 一層子域名,受萬用字元保護 |
api.example.com |
✅ 是 | 一層子域名,受萬用字元保護 |
any-new-name.example.com |
✅ 是 | 未來新增的任何一層子域名都自動受保護 |
example.com |
⚠️ 視 CA 而定 | 部分 CA 免費附贈裸域名保護,請購買前確認 |
sub.shop.example.com |
❌ 否 | 二層子域名,不在萬用字元涵蓋範圍 |
example.net |
❌ 否 | 完全不同的域名,不受保護 |
不管您有 5 個還是 500 個子域名,一張萬用字元憑證全部涵蓋。這是它與多域名 SAN 憑證最大的不同 — SAN 需要逐一列出每個域名,而萬用字元自動保護所有子域名。
新增子域名時完全不需要接觸 SSL 憑證 — 不用重新簽發、不用重新驗證、不用重新部署。DNS 一設好,子域名立即就有 HTTPS。對於快速擴展的業務來說,這是巨大的運維優勢。
萬用字元憑證的價格通常是單域名的 2-3 倍。只要您有 3 個以上的子域名,用萬用字元就比分別購買單域名憑證更划算。子域名越多,每個子域名分攤的成本越低。
一張憑證、一個到期日、一次續約。不必追蹤多張憑證各自的到期時間,也不必重複進行多次的安裝和設定流程。IT 人員的管理負擔大幅減輕。
非常適合動態建立子域名的架構,如 SaaS 平台為每個客戶分配獨立子域名(client1.app.com、client2.app.com)、或開發團隊為每個功能分支建立預覽環境。
同一張萬用字元憑證可以安裝在多台伺服器上(只要 CA 授權允許),非常適合負載均衡、CDN 或分散式架構。
*.example.com 不涵蓋 sub.shop.example.com 等二層以上的子域名。example.com(裸域名)本身,需額外確認或購買。萬用字元憑證的一把私鑰保護所有子域名。如果私鑰不幸外洩,攻擊者可以冒充您的任何子域名。因此:
• 私鑰的存放必須比一般憑證更加嚴格
• 檔案權限應設為 600 或 400
• 絕不透過不安全管道(如 Email)傳送私鑰
• 建議使用硬體安全模組(HSM)存放
• 一旦懷疑私鑰外洩,必須立即撤銷整張憑證(這會影響所有子域名!)
萬用字元憑證必須使用 DNS 驗證。以下是具體操作步驟:
| 子域名數量 | 購買多張單域名憑證 | 購買一張萬用字元憑證 | 建議方案 |
|---|---|---|---|
| 1-2 個 | 較低成本 | 較高成本 | 單域名憑證 |
| 3 個 | 費用接近 | 費用接近 | 損益兩平,看未來擴展 |
| 4-10 個 | 費用較高 | 費用較低 | 萬用字元憑證 ✅ |
| 10+ 個 | 費用很高 | 費用遠低 | 萬用字元憑證 ✅✅ |
以下場景特別適合使用萬用字元 SSL 憑證:
同時經營 www、shop、blog、support、api 等多個子域名的企業。一張萬用字元憑證全部搞定,管理簡單。
為每個客戶分配獨立子域名的 SaaS 平台(如 client-a.yourapp.com)。新客戶加入時自動享有 SSL 保護。
dev.example.com、staging.example.com、test.example.com 等多個開發環境,一張憑證統一保護。
auth.example.com、api.example.com、cdn.example.com 等多個微服務端點,萬用字元憑證是最高效的選擇。
使用子域名區分語系的國際網站(如 en.example.com、ja.example.com、tw.example.com)。
企業內部的多個管理子系統(hr.company.com、erp.company.com、crm.company.com),統一加密保護。
| 比較項目 | 單一域名 | 多域名 (SAN) | 萬用字元 |
|---|---|---|---|
| 保護範圍 | 1 個 FQDN | 多個不同域名 | 所有一層子域名 |
| 新增域名 | 需購買新憑證 | 需重新簽發 | 自動涵蓋 ✅ |
| 域名數量上限 | 1 個 | 100-250 個 | 無限 |
| 跨域名保護 | ❌ | ✅ | ❌ 僅同主域名 |
| 支援 EV | ✅ | ✅ | ❌ 最高 OV |
| 驗證方式 | Email/DNS/HTTP | Email/DNS/HTTP | 僅 DNS |
| 私鑰外洩影響 | 1 個域名 | 列入的所有域名 | 所有子域名 |
| 最適合 | 單一網站 | 多品牌企業 | 多子域名架構 |
不行。*.example.com 只保護一層子域名(如 www.example.com),不保護二層子域名(如 sub.www.example.com)。如果需要保護二層子域名,您需要另外購買 *.www.example.com 的萬用字元憑證,或者使用多域名 SAN 憑證將這些二層子域名逐一列入。
根據 CA/Browser Forum 的安全政策,EV 憑證要求對每個受保護的域名進行嚴格的身分審核。而萬用字元憑證可以自動保護尚未存在的未來子域名,無法提前對這些域名進行審核,因此不符合 EV 的審核精神。如果您需要最高信任等級,建議使用 EV 多域名(SAN)憑證。
取決於 CA 的授權條款。大多數商業 CA 允許在同一組織內的多台伺服器上安裝同一張萬用字元憑證(需要將私鑰複製到每台伺服器)。但某些 CA 可能要求購買額外的伺服器授權。購買前請確認 CA 的多伺服器授權政策。
是的。這是萬用字元憑證最大的風險之一。由於所有子域名共用同一張憑證和同一把私鑰,一旦撤銷(無論是因為私鑰外洩還是其他原因),所有子域名的 HTTPS 都會立即失效。因此,私鑰的保管必須格外嚴謹,建議制定完善的應急計畫。
可以。部分 CA 提供「Multi-Domain Wildcard SSL」產品,允許在 SAN 列表中包含多個萬用字元項目。例如,一張憑證可以同時保護 *.brand-a.com 和 *.brand-b.net。這提供了最大的保護彈性,但價格也相對較高。
萬用字元 SSL 憑證是多子域名架構的最佳 SSL 解決方案。經綸SSL安全憑證申請中心提供多品牌的萬用字元憑證選擇。