Wildcard to znak zastępczy (*) w konfiguracji domen i certyfikatów SSL, który obejmuje wszystkie subdomeny jednym wpisem. Certyfikat wildcard SSL na *.firma.pl chroni www.firma.pl, blog.firma.pl, sklep.firma.pl, mail.firma.pl i każdą inną subdomenę. Bez kupowania osobnego certyfikatu na każdą. Rekord DNS wildcard (*.firma.pl wskazuje na IP) kieruje wszystkie subdomeny na jeden serwer.
Wildcard SSL: certyfikat na wszystkie subdomeny
Standardowy certyfikat SSL chroni jedną domenę (np. firma.pl) albo jedną subdomenę (www.firma.pl). Masz 10 subdomen? Potrzebujesz 10 certyfikatów (albo jednego multi-domain SAN). Wildcard SSL chroni wszystkie subdomeny pierwszego poziomu jednym certyfikatem: *.firma.pl = www.firma.pl + blog.firma.pl + api.firma.pl + dev.firma.pl + cokolwiek.firma.pl.
Jedno ograniczenie, o którym łatwo zapomnieć: wildcard obejmuje tylko jeden poziom subdomen. *.firma.pl chroni blog.firma.pl, ale NIE chroni test.blog.firma.pl (subdomena drugiego poziomu). Pod nią potrzebujesz osobnego wildcarda: *.blog.firma.pl.
Kiedy potrzebujesz wildcarda
| Scenariusz | Zwykły SSL | Wildcard SSL |
|---|---|---|
| Jedna strona (firma.pl + www.firma.pl) | Wystarczy | Niepotrzebny |
| Strona + blog + sklep (3 subdomeny) | 3 certyfikaty | 1 wildcard |
| SaaS z subdomenami per klient | Niemożliwe (setki) | 1 wildcard |
| Staging na subdomenie | Osobny cert | Pokryty |
| Dev environment (dev.firma.pl, test.firma.pl) | Osobne certy | Pokryte |
Zasada: 3+ subdomeny (obecne albo planowane) i wildcard wychodzi taniej i wygodniej niż osobne certyfikaty. Jedna strona bez subdomen: zwykły certyfikat (Let’s Encrypt) wystarczy.
Skąd wziąć wildcard SSL
Let’s Encrypt (darmowy). Let’s Encrypt obsługuje wildcard SSL od 2018, za darmo. Jeden warunek: weryfikacja przez DNS-01 challenge (rekord TXT w DNS domeny). Certbot na VPS automatyzuje to:
sudo certbot certonly --manual --preferred-challenges dns -d "*.firma.pl" -d "firma.pl"Certbot prosi o dodanie rekordu TXT _acme-challenge.firma.pl z wartością. Dodajesz w panelu DNS, czekasz na propagację, Certbot weryfikuje, certyfikat wystawiony na 90 dni z auto-renew.
Na shared hostingu większość polskich dostawców (cyber_Folks, nazwa.pl, home.pl) oferuje wildcard Let’s Encrypt w panelu, włączasz jednym kliknięciem. Brak opcji? Pytasz support.
Płatny wildcard SSL (Comodo, DigiCert, Sectigo).
| Dostawca | Cena/rok (wildcard) | Typ |
|---|---|---|
| Sectigo (dawniej Comodo) | ~300–500 zł | DV (Domain Validated) |
| DigiCert | ~2 000–3 000 zł | OV/EV (Organization Validated) |
| GeoTrust | ~800–1 500 zł | OV |
| Let’s Encrypt | 0 zł | DV |
Płatny ma sens, kiedy potrzebujesz OV albo EV: certyfikat wyświetla nazwę firmy w szczegółach (kłódka, „Certificate”, „Organization”). Buduje to zaufanie dla banków, e-commerce, instytucji. Pod blogi i strony firmowe Let’s Encrypt (DV) wystarcza w 100%, Google nie rozróżnia DV od EV w rankingu.
Wildcard DNS: rekord *
Wildcard DNS to rekord z gwiazdką: *.firma.pl wskazuje na IP serwera. Każda subdomena bez własnego rekordu jest kierowana na ten IP. Bez wildcarda blog.firma.pl zwróci NXDOMAIN, jeśli nie ma osobnego rekordu A. Z wildcardem dowolna subdomena działa od razu.
Konfiguracja w panelu DNS:
Typ: A
Nazwa: *
Wartość: [IP serwera]
TTL: 3600Kiedy wildcard DNS się przydaje
SaaS / multi-tenant. Każdy klient ma subdomenę (klient1.app.pl, klient2.app.pl). Wildcard DNS plus wildcard SSL = nowe subdomeny działają automatycznie, bez dorzucania rekordów per klient. Sam tak prowadzę klientów na multi-tenant aplikacjach: dorzucam klienta w panelu app, subdomena działa od ręki, bez dotykania DNS-a.
WordPress Multisite (subdomain mode). Każdy blog w sieci ma subdomenę (blog1.firma.pl, blog2.firma.pl). Wildcard DNS kieruje wszystkie na jeden serwer, WordPress Multisite rozróżnia po subdomenie.
Dev/staging. dev.firma.pl, staging.firma.pl, test.firma.pl działają od razu, bez dorzucania rekordów dla każdej.
Wildcard a Cloudflare
Cloudflare obsługuje wildcard DNS (rekord * w panelu). Cloudflare proxy (pomarańczowa chmurka) na wildcard nie działa w darmowym planie. Subdomeny wildcardowe mają szarą chmurkę (DNS only, bez CDN i WAF). Proxy dla wildcarda: tylko Enterprise. Workaround: dodajesz konkretne subdomeny z pomarańczową chmurką ręcznie.
Cloudflare SSL plus wildcard: Cloudflare Universal SSL automatycznie obsługuje *.firma.pl, więc nie musisz kupować osobnego certyfikatu. Dotyczy to trasy Cloudflare-użytkownik. Na trasie Cloudflare-serwer potrzebujesz Cloudflare Origin Certificate (wildcard, darmowy, ważny 15 lat).
Bezpieczeństwo wildcarda
Wildcard SSL ma jeden klucz prywatny dla wszystkich subdomen. Jeśli klucz wycieknie, atakujący może podszyć się pod dowolną subdomenę, nie tylko pod jedną (jak przy zwykłym certyfikacie). Stąd:
- Chroń klucz prywatny. Nie wrzucaj do publicznych repo, nie przesyłaj mailem.
- Krytyczne subdomeny mogą mieć osobny certyfikat. Bank.firma.pl warto trzymać poza wildcardem. Wyciek wildcarda nie ruszy krytycznej subdomeny.
- Krótka ważność = mniejsze ryzyko. Let’s Encrypt to 90 dni z auto-renew, płatne ciągną się rok.
Najczęściej zadawane pytania
Czy Let’s Encrypt wildcard jest tak samo bezpieczny jak płatny
Tak. Szyfrowanie jest identyczne (TLS 1.2/1.3, ten sam poziom kryptografii). Różnica: Let’s Encrypt to DV (weryfikacja domeny), płatne OV/EV mają weryfikację organizacji (nazwa firmy w certyfikacie). Google nie rozróżnia DV od EV w rankingu. Pod SEO i bezpieczeństwo Let’s Encrypt wystarcza.
Czy wildcard chroni samą domenę bez subdomeny
Nie automatycznie. *.firma.pl chroni subdomeny, ale nie samą firma.pl. Pod oba zamawiasz certyfikat na *.firma.pl ORAZ firma.pl (dwa SAN-y w jednym certyfikacie). Let’s Encrypt: certbot -d "*.firma.pl" -d "firma.pl".
Czy mogę mieć wildcard na darmowym hostingu
Zależy od hostingu. Współdzielone hosting komercyjne (home.pl, nazwa.pl, cyber_Folks): obsługują wildcard Let’s Encrypt. Darmowe hostingi (freehosting, 000webhost): zwykle nie. Panel, sekcja SSL, sprawdzasz, czy jest opcja wildcarda.
Wildcard SSL a SEO
Bez wpływu. Google nie rozróżnia wildcarda od zwykłego certyfikatu. Liczy się HTTPS (jest), ważność certyfikatu (nie wygasł) i prawidłowa konfiguracja (brak mixed content). Typ certyfikatu (wildcard, single, multi-domain, DV, OV, EV): zero wpływu na ranking.
Ile subdomen obejmuje wildcard
Nieograniczenie. Wildcard nie ma limitu. *.firma.pl chroni 1 subdomenę tak samo, jak 1000. Ograniczenie jest jedno: tylko jeden poziom subdomen, nie *.*.firma.pl.
