免费通配符 SSL 证书(如 *.example.com)在 RFC 6125 和 CA/Browser Forum Baseline Requirements 中明确定义:其通配符 * 仅匹配**单个最左侧标签(label)**,且不匹配空标签或父域。因此 *.example.com 可覆盖 www.example.com、api.example.com、mail.example.com,但**不覆盖 example.com(即裸域/主域名)**,因为该域名不含子标签,通配符无处“匹配”。
技术上,X.509 证书的 subjectAltName(SAN)字段中,通配符必须出现在最左位置且紧邻点号(如 DNS:*.example.com),而 DNS:example.com 是独立条目;CA 不允许将 * 解释为“零个或多个标签”,否则会破坏域名层级语义与安全边界(例如 *.com 将非法覆盖全网 .com 域名)。
在实际部署中,若需同时保护 example.com 和 *.example.com,标准做法是在同一张证书的 SAN 列表中**显式包含两个条目**:DNS:example.com 和 DNS:*.example.com。绝大多数商业 CA(如 Digicert、Sectigo、vTrus(天威诚信))均支持此组合,且不额外收费。
需要注意收费的证书都是通配符里送 主域名的。
*.example.com 不覆盖 a.b.example.com(二级子域需用 *.b.example.com 或显式列出)。加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
