单域名证书和通配符域名证书的区别
单域名SSL证书仅保护一个精确匹配的域名(如 www.topssl.cn 或 topssl.cn),而通配符SSL证书(如 *.topssl.cn)可一次性覆盖主域名及其所有一级子域名(如 mail.topssl.cn、blog.topssl.cn、api.topssl.cn)。二者在适用范围、管理成本、安全赔付与部署灵活性上存在本质差异,不能简单互换。
技术背景:证书类型决定信任边界
SSL证书的信任范围由其 Subject Alternative Name (SAN) 字段严格定义。单域名证书的 SAN 中仅包含 1 条 DNSName 条目;通配符证书则使用通配符语法(*.example.com),符合 RFC 6125 规范,但明确不覆盖二级及以上子域(如 dev.test.example.com 不受 *.example.com 保护)。浏览器验证时逐字符比对主机名,任何偏差都将触发 NET::ERR_CERT_COMMON_NAME_INVALID 错误。
TLS协议工作机制
在 TLS 握手阶段,客户端发送 SNI(Server Name Indication)扩展告知目标域名,服务端据此选择匹配的证书。单域名证书要求 SNI 值与证书中 CN 或 SAN 完全一致;通配符证书允许 SNI 匹配通配符规则——但该匹配仅限左端,且通配符不能出现在多标签位置(如 *.co.uk 无效)。生产环境中若混用 Nginx 多 server{} 块与同一通配符证书,需确保每个块的 server_name 均被该证书覆盖,否则将降级为默认证书或触发不安全警告。
证书部署限制
通配符证书不支持域名验证中的 HTTP-01 方式(CA/B Forum BR 3.2.2.4 明确禁止),必须采用 DNS-01 或 email 验证。这意味着你无法在无 DNS 管控权的共享主机(如部分虚拟主机)上完成验证。此外,通配符证书私钥一旦泄露,风险面远超单域名证书——攻击者可伪造任意子域站点实施钓鱼。因此金融、政务类系统通常禁用通配符,而采用多域名(SAN)证书分场景管控。
TopSSL专家建议:按业务生命周期选型
| 维度 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 适用场景 | 单域名:静态官网、博客、测试站 通配符:SaaS平台、多语言站、APP后端、小程序API | 若未来6个月内预计新增 ≥3 个子域名(如 pay.example.com、help.example.com),直接选用通配符SSL证书。临时项目建议用单域名证书控制成本。 |
| 安全赔付 | DV单域名:最高10万元 DV通配符:最高100万元(如 Sectigo DV Wildcard) | 赔付能力反映CA风控强度。企业对外服务系统建议选 OV 通配符(如 锐安信OV通配符SSL证书),赔付达500万元起,且支持国密SM2双算法。 |
| 运维复杂度 | 单域名:独立续期、独立安装 通配符:一次部署,全域生效 | 使用 Kubernetes Ingress 或云厂商 ALB 时,通配符证书可减少 70% 证书轮转操作。但需注意:阿里云SLB不支持通配符证书自动续期,需人工干预。 |
常见问题
Q:我买了 *.example.com,能保护 example.com 吗?
A:不能。通配符语法不匹配根域,必须额外添加 example.com 到 SAN 列表,或单独购买单域名证书。主流品牌(如 Sectigo、锐安信)签发的通配符证书默认不含根域,需手动申请加项。
Q:通配符证书可以安装在多台服务器上吗?
A:可以,但受限于许可条款。TopSSL销售的通配符证书支持无限服务器部署,而部分国际品牌(如 DigiCert)要求按服务器数量授权。部署前请确认证书许可模型。
Q:通配符证书支持国密算法吗?
A:支持。华测、锐安信、沃通等国产 CA 均提供 国密SSL证书,含 SM2+SM3+SM4 全栈国密算法,兼容红莲花、360等国密浏览器。
京公网安备11010502031690号
网站经营企业工商营业执照
