Wildcard

Wildcard

Wildcard（通配符）SSL/TLS 证书是一种可保护主域名及其所有一级子域名的数字证书，例如 *.example.com 可同时覆盖 www.example.com、mail.example.com、api.example.com 等，但不覆盖二级子域名（如 dev.www.example.com）或父域（如 example.com 本身）——除非证书明确包含主域名作为额外 SAN（Subject Alternative Name）。

Wildcard 证书基于 X.509 标准，其 Subject 字段中 CN（Common Name）或 SAN 扩展中使用 * 通配符，由 RFC 6125 和浏览器根证书策略共同约束。现代主流浏览器（Chrome、Firefox、Safari）均支持通配符匹配，但要求通配符必须位于最左侧且仅出现在单个标签位置（即 *.a.b.c 合法，**.example.com 或 *.sub.*.com 非法）。证书私钥需严格保管，因泄露将危及所有受保护子域的安全性。

需要注意的情况

• Wildcard 证书不自动包含主域名（如 example.com），若需覆盖，须在签发时显式添加为 SAN；否则访问裸域会触发证书名称不匹配警告。
• DV SSL证书 支持 Wildcard，而 OV SSL证书 和 EV SSL证书 原则上也支持，但部分 CA（如 Digicert、GlobalSign）对 Wildcard EV 的签发已逐步停止，因 EV 要求严格组织验证且通配符降低可追溯性。
• Let’s Encrypt 自 2018 年起支持 Wildcard 证书，但仅通过 DNS-01 挑战方式颁发，不支持 HTTP-01；且需 ACME v2 协议与支持 wildcard 的客户端（如 certbot ≥0.22）。
• 国密SSL证书 目前主流厂商（如华测国密CA、vTrus）已提供 SM2 算法 Wildcard 证书，适用于国密合规 HTTPS 场景，但需服务端配置支持 SM2+SM3+SM4 组合的 TLS 握手。