本文属于「SSL证书选购指南」专题内容,查看更多相关内容: → SSL证书选购指南
通配符SSL证书为什么不能跨级保护子域名?
通配符SSL证书(Wildcard SSL Certificate)不支持跨级域名保护,这是由RFC 6125标准与浏览器证书验证机制共同决定的硬性限制。例如 *.example.com 只能覆盖 blog.example.com、shop.example.com 等一级子域名,但无法保护 api.blog.example.com 或 ssl.shop.example.com 这类二级及以上子域名。
该规则适用于所有主流CA机构签发的证书,包括Sectigo、Digicert、锐安信、Geotrust及XinSSL等品牌,与证书类型(DV/OV/EV)或算法(RSA/SM2/ECC)无关。
技术机制:通配符匹配遵循“单层通配”语义
根据RFC 6125第6.4.3节定义,通配符 * 仅匹配DNS名称中**最左侧的单个标签**,且必须位于标签边界。浏览器在验证时会将主机名按点(.)分割为标签序列,仅允许用 * 替换其中一个完整标签。因此 *.topssl.cn 匹配 mail.topssl.cn,但不匹配 dev.api.topssl.cn——后者含三个标签(dev、api、topssl.cn),而通配符只能覆盖 dev 或 api 中的一个,无法跳过中间层级。
这一机制防止了证书权限过度泛化,是PKI信任模型安全边界的底层设计。
工程实践:真实部署中的典型误判
运维中常见错误是误认为 *.a.com 可覆盖 b.a.com 下的所有子域。我们曾协助某电商客户排查HTTPS中断问题:其CDN配置了 *.cdn.a.com 证书,却试图为 static.assets.cdn.a.com 提供服务,结果Chrome报错 NET::ERR_CERT_COMMON_NAME_INVALID。最终通过改用多域名证书(SAN)或申请二级通配符 *.assets.cdn.a.com 解决。
值得注意的是,Let’s Encrypt自2021年起已明确禁止通配符证书的DNS-01验证方式用于跨级场景;国内华测、CFCA等CA在审核时也会主动拦截此类CSR提交。
替代方案:如何覆盖多级子域名?
当业务需保护跨级结构(如 *.blog.example.com + *.api.example.com + example.com),推荐三种合规方案:
- 多域名证书(SAN):单张证书绑定多个精确域名,支持混合层级,适合域名数量稳定且≤100个的场景;
- 嵌套通配符组合:分别申请 *.example.com、*.blog.example.com、*.api.example.com 三张证书,部署于对应服务器;
- 国密双证书架构:针对政务系统,可采用SM2+RSA双算法证书,兼顾兼容性与国密合规,如华测国密OV通配符SSL证书。
| ** - ** | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 通配符层级限制 | RFC 6125 §6.4.3 | 严格禁止跨级,*.a.com ≠ *.b.a.com |
| Let's Encrypt策略 | ACME v2规范 | DNS-01验证仅允许单层通配符,不支持递归匹配 |
| 国产CA实践 | 《GM/T 0015-2012》 | 锐安信、CFCA等均要求CSR中CN/SAN字段显式声明每一级通配范围 |
常见问题
Q:我买了 *.example.com 证书,能不能手动添加 api.blog.example.com 到SAN列表? A:不能。通配符证书的Subject Alternative Name(SAN)字段不接受跨级域名,CA签发系统会在预检阶段拒绝该请求。
Q:有没有CA支持真正的“无限级通配符”? A:没有。所有遵循CA/Browser Forum Baseline Requirements的公开信任CA均不提供该能力,否则将导致根证书被主流浏览器移除信任。
Q:测试环境想快速覆盖多级子域,有什么临时方案? A:可使用自签名证书配合本地Hosts绑定,或申请XinSSL DV通配符SSL证书(支持3~10分钟快速签发),但仅限非生产用途。
京公网安备11010502031690号
网站经营企业工商营业执照
