可以申请免费通配符 SSL 证书吗？

可以申请免费通配符 SSL 证书吗？

目前主流的免费 SSL 证书签发机构（如 Let's Encrypt）**不支持直接签发通配符证书**，但可通过 ACME 协议配合 DNS-01 挑战方式**间接获得免费通配符 SSL 证书**。Let's Encrypt 自 2018 年起支持通配符证书（RFC 8555），但仅限于使用 DNS-01 验证，且必须通过支持该验证方式的客户端（如 Certbot 0.22+、acme.sh 等）完成自动化部署。

通配符证书（例如 *.example.com）覆盖主域名下所有一级子域名，但不覆盖多级子域名（如 a.b.example.com）或根域名（example.com）。Let's Encrypt 的通配符证书有效期为 90 天，需定期自动续期；其根证书（ISRG Root X1）已广泛受现代浏览器和操作系统信任，但在部分老旧系统（如 Windows XP SP3、Android <4.3）中存在兼容性问题。

需要注意的情况

• Let's Encrypt 的通配符证书仅支持 DNS-01 验证，不支持 HTTP-01 或 TLS-ALPN-01，因此需具备对域名 DNS 解析记录（TXT）的 API 控制权限（如 Cloudflare、阿里云 DNS、腾讯云 DNSPod 等支持 API 的服务商）。
• 免费通配符证书不包含组织身份验证（即仅等效于 DV SSL证书），无法显示企业名称，也不适用于需要法律背书或高信任等级的场景（如金融支付页面、后台管理入口）。
• 部分国内云厂商或 CDN 提供的“免费通配符”实为代签服务（如自建 ACME 代理），其证书仍由 Let's Encrypt 签发，但可能隐含日志上报、策略限制或服务终止风险，需审阅其 ToS。
• 若需长期稳定、支持 OV/EV 验证、国密算法（SM2）或多域名通配混合（如 *.a.com + *.b.com），建议评估商用方案，例如 国密SSL证书 或 OV SSL证书（参考价格：¥399/年起，支持通配符与多域名组合）。