是的,标准通配符 SSL 证书(如 *.example.com)**不包含主域(example.com)**,仅覆盖一级子域名(如 www.example.com、mail.example.com、api.example.com),但明确不覆盖裸域(即无前缀的根域名)。
该行为符合 RFC 6125 和主流浏览器(Chrome、Firefox、Safari)的证书验证逻辑:通配符 * 仅匹配单个标签(label),不能跨越点(.),因此 *.example.com 匹配 a.example.com,但不匹配 example.com(零个标签)或 a.b.example.com(两个标签)。
实际部署中,若网站同时通过 example.com 和 www.example.com 访问,仅部署 *.example.com 会导致裸域 HTTPS 请求触发证书名称不匹配警告(NET::ERR_CERT_COMMON_NAME_INVALID)。
*.example.com 和 example.com(Subject Alternative Name 扩展显式列出),需在申请时主动勾选或备注;这不是通配符语法的自然能力,而是 CA 的签发策略支持。certbot 申请 -d *.example.com -d example.com 可显式添加,但需通过 DNS-01 验证(因 HTTP-01 无法验证通配符),且 ACME 协议要求对每个 SAN 独立验证。*.example.com 不隐含 example.com,需在 CSR 或订单中单独申明。加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
