通配符证书是否包含主域
是的,标准通配符 SSL 证书(如 *.example.com)**不包含主域(example.com)**,仅覆盖一级子域名(如 www.example.com、mail.example.com、api.example.com),但明确不覆盖裸域(即无前缀的根域名)。
该行为符合 RFC 6125 和主流浏览器(Chrome、Firefox、Safari)的证书验证逻辑:通配符 * 仅匹配单个标签(label),不能跨越点(.),因此 *.example.com 匹配 a.example.com,但不匹配 example.com(零个标签)或 a.b.example.com(两个标签)。
实际部署中,若网站同时通过 example.com 和 www.example.com 访问,仅部署 *.example.com 会导致裸域 HTTPS 请求触发证书名称不匹配警告(NET::ERR_CERT_COMMON_NAME_INVALID)。
需要注意的情况
- 部分厂商提供“通配符+主域”组合证书:例如某些 OV SSL证书 或 EV SSL证书 可在一张证书中同时包含
*.example.com和example.com(Subject Alternative Name 扩展显式列出),需在申请时主动勾选或备注;这不是通配符语法的自然能力,而是 CA 的签发策略支持。 - 免费证书(如 Let's Encrypt)默认不自动包含主域:使用
certbot申请-d *.example.com -d example.com可显式添加,但需通过 DNS-01 验证(因 HTTP-01 无法验证通配符),且 ACME 协议要求对每个 SAN 独立验证。 - 国密SSL证书(如基于 SM2 算法的证书)同样遵循相同命名规则,
*.example.com不隐含example.com,需在 CSR 或订单中单独申明。
京公网安备11010502031690号
网站经营企业工商营业执照
