*.example.com 有效匹配 www.example.com、api.example.com,但不匹配 dev.www.example.com 或 example.com(根域)。其适用性不取决于“是否方便”,而取决于是否满足 RFC 6125 的主机名验证逻辑、CA/B Forum BR 3.2.2.4 的签发限制,以及组织对私钥生命周期的管控能力。当子域名数量增长、部署环境异构或存在跨安全域服务时,通配符证书可能放大密钥泄露影响面并增加吊销复杂度。判断起点应是 DNS 域名拓扑测绘与 TLS 终结点映射关系确认。
shop.example.com 与 shop.another.com 不可共证); - 所有子域名必须由同一实体完全控制,不存在第三方托管或 SaaS 租户隔离场景; - 根域 example.com 本身不承载生产服务,或已通过额外 SAN 条目显式包含。| 维度 | 参考标准 | 工程师建议 |
|---|---|---|
| 域名变更频率 | CA/B Forum BR 3.2.2.6:通配符签发前须验证主域控制权,且每 398 天需重新验证 | 若子域名月均增减 ≥5 个,优先选 多域名SSL证书 配合自动化 CSR 生成 |
| 终端兼容性 | RFC 8555 ACME v2 支持通配符自动验证,但部分嵌入式设备 TLS 栈不支持 SNI 扩展 | IoT 设备或老旧 Java 7 客户端环境,禁用通配符,改用显式 SAN 列表 |
| 审计合规要求 | PCI DSS 4.1、等保2.0三级要求私钥存储于 HSM 或可信执行环境 | 若无法为每个子域名部署独立 HSM 实例,通配符反而降低密钥隔离等级 |
通配符证书不是“省事方案”,而是特定拓扑下的确定性选择:当且仅当子域名集静态、控制权统一、密钥分发可控、且无跨域或根域服务需求时,才具备工程合理性。
域名结构决定技术可行性,运维能力决定实施可持续性,安全策略决定长期可审计性。
*.example.com 不包含根域,必须额外添加 example.com 作为 SAN 条目,或单独申请根域证书。Q:是否可以用 ..example.com 匹配三级子域名?
A:不可以。CA/B Forum 明确禁止多级通配符,该格式不被任何公开信任 CA 接受。
Q:通配符证书吊销后,所有子域名是否同时失效?
A:是。OCSP 响应或 CRL 中的吊销状态对整个证书生效,无法按子域名粒度控制。
加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
