Wildcard to znak zastępczy (*) w konfiguracji domen i certyfikatów SSL, który obejmuje wszystkie subdomeny jednym wpisem. Certyfikat wildcard SSL wystawiony na *.firma.pl chroni: www.firma.pl, blog.firma.pl, sklep.firma.pl, mail.firma.pl i dowolną inną subdomenę – bez kupowania osobnego certyfikatu dla każdej. Rekord DNS wildcard (*.firma.pl → IP) kieruje wszystkie subdomeny na jeden serwer.
Wildcard SSL – certyfikat na wszystkie subdomeny
Jak działa
Standardowy certyfikat SSL chroni jedną domenę (np. firma.pl) lub jedną subdomenę (www.firma.pl). Jeśli masz 10 subdomen – potrzebujesz 10 certyfikatów (lub jednego multi-domain/SAN). Wildcard SSL chroni wszystkie subdomeny pierwszego poziomu jednym certyfikatem: *.firma.pl = www.firma.pl + blog.firma.pl + api.firma.pl + dev.firma.pl + cokolwiek.firma.pl.
Ograniczenie: wildcard obejmuje tylko jeden poziom subdomen. *.firma.pl chroni blog.firma.pl, ale NIE chroni test.blog.firma.pl (to subdomena drugiego poziomu). Do subdomen drugiego poziomu potrzebujesz osobnego wildcarda: *.blog.firma.pl.
Kiedy potrzebujesz wildcard SSL
| Scenariusz | Zwykły SSL | Wildcard SSL |
|---|---|---|
| Jedna strona (firma.pl + www.firma.pl) | ✅ Wystarczy | Nie potrzebny |
| Strona + blog + sklep (3 subdomeny) | 3 certyfikaty | ✅ 1 wildcard |
| SaaS z subdomenami per klient (klient1.app.pl, klient2.app.pl) | Niemożliwe (setki cert) | ✅ 1 wildcard |
| Staging na subdomenie (staging.firma.pl) | Osobny cert | ✅ Pokryty wildcarded |
| Dev environment (dev.firma.pl, test.firma.pl) | Osobne certy | ✅ Pokryte |
Zasada: jeśli masz (lub planujesz mieć) 3+ subdomen – wildcard SSL jest tańszy i wygodniejszy niż osobne certyfikaty. Jeśli masz jedną stronę bez subdomen – zwykły certyfikat (lub darmowy Let’s Encrypt) wystarczy.
Jak uzyskać wildcard SSL
Let’s Encrypt (darmowy)
Let’s Encrypt obsługuje wildcard SSL od 2018 roku – za darmo. Jedyny warunek: weryfikacja przez DNS-01 challenge (musisz dodać rekord TXT w DNS domeny). Certbot (narzędzie Let’s Encrypt) automatyzuje to na VPS:
sudo certbot certonly --manual --preferred-challenges dns -d "*.firma.pl" -d "firma.pl"Certbot poprosi o dodanie rekordu TXT _acme-challenge.firma.pl z wartością weryfikacyjną. Dodajesz w panelu DNS → czekasz na propagację → Certbot weryfikuje → certyfikat wystawiony na 90 dni (auto-renew).
Na hostingu współdzielonym: większość hostingów (cyber_Folks, nazwa.pl, home.pl) oferuje wildcard Let’s Encrypt w panelu – włączasz jednym kliknięciem. Jeśli nie: pytaj support.
Płatne wildcard SSL (Comodo, DigiCert, Sectigo)
| Dostawca | Cena/rok (wildcard) | Typ |
|---|---|---|
| Sectigo (dawniej Comodo) | ~300–500 zł | DV (Domain Validated) |
| DigiCert | ~2 000–3 000 zł | OV/EV (Organization Validated) |
| GeoTrust | ~800–1 500 zł | OV |
| Let’s Encrypt | 0 zł | DV |
Kiedy płatny: OV/EV certyfikat wyświetla nazwę firmy w certyfikacie (kliknij kłódkę → „Certificate” → „Organization”). Buduje zaufanie dla: banków, e-commerce, instytucji. Dla blogów i stron firmowych: Let’s Encrypt (DV) w 100% wystarcza – Google nie rozróżnia DV od EV w rankingu.
Wildcard domena – rekord DNS *
Wildcard DNS to rekord DNS z gwiazdką: *.firma.pl → IP serwera. Oznacza: każda subdomena, która nie ma osobnego rekordu, jest kierowana na ten IP. Bez wildcarda: blog.firma.pl zwróci NXDOMAIN (nie istnieje) jeśli nie ma osobnego rekordu A. Z wildcarded: cokolwiek.firma.pl zawsze kieruje na serwer.
Konfiguracja: w panelu DNS dodaj rekord:
Typ: A
Nazwa: *
Wartość: [IP serwera]
TTL: 3600Kiedy wildcard DNS jest przydatny
SaaS / multi-tenant: każdy klient ma subdomenę (klient1.app.pl, klient2.app.pl). Wildcard DNS + wildcard SSL = nowe subdomeny działają automatycznie, bez dodawania rekordów DNS per klient.
WordPress Multisite (subdomain mode): każdy blog w sieci ma subdomenę (blog1.firma.pl, blog2.firma.pl). Wildcard DNS kieruje wszystkie na jeden serwer, WordPress Multisite rozróżnia po subdomenie.
Dev/staging: dev.firma.pl, staging.firma.pl, test.firma.pl – wszystkie działają od razu bez dodawania rekordów.
Wildcard a Cloudflare
Cloudflare obsługuje wildcard DNS (rekord * w panelu DNS). Ale Cloudflare proxy (pomarańczowa chmurka) nie działa z wildcard w darmowym planie – wildcard subdomeny mają szarą chmurkę (DNS only, bez CDN/WAF). Proxy dla wildcard: plan Enterprise (lub: dodawaj konkretne subdomeny z pomarańczową chmurką ręcznie).
Cloudflare SSL + wildcard: Cloudflare Universal SSL automatycznie obsługuje *.firma.pl – nie musisz kupować osobnego certyfikatu. Ale: dotyczy to ruchu Cloudflare ↔ użytkownik. Na trasie Cloudflare ↔ serwer: potrzebujesz Cloudflare Origin Certificate (wildcard, darmowy, ważny 15 lat).
Bezpieczeństwo wildcard – uwagi
Wildcard SSL ma jeden prywatny klucz dla wszystkich subdomen. Jeśli klucz wycieknie – atakujący może podszyć się pod dowolną subdomenę (nie tylko jedną, jak przy zwykłym certyfikacie). Dlatego:
- Chroń klucz prywatny – nie przechowuj w publicznym repo, nie przesyłaj mailem
- Rozważ osobny certyfikat dla krytycznych subdomen (np.
bank.firma.pl) – jeśli wildcard wycieknie, krytyczna subdomena ma osobny cert - Skróć ważność – Let’s Encrypt: 90 dni z auto-renew (krótki czas = mniejsze ryzyko). Płatne: 1 rok
Najczęściej zadawane pytania
Czy Let’s Encrypt wildcard jest tak samo bezpieczny jak płatny?
Tak – szyfrowanie jest identyczne (TLS 1.2/1.3, ten sam poziom kryptografii). Różnica: Let’s Encrypt = DV (weryfikacja domeny), płatne OV/EV = weryfikacja organizacji (nazwa firmy w certyfikacie). Google nie rozróżnia DV od EV w rankingu. Dla SEO i bezpieczeństwa: Let’s Encrypt wystarczy.
Czy wildcard SSL chroni samą domenę (firma.pl bez subdomeny)?
Nie automatycznie – *.firma.pl chroni subdomeny, ale nie samą firma.pl. Żeby objąć oba: zamów certyfikat na *.firma.pl ORAZ firma.pl (dwa SAN-y w jednym certyfikacie). Let’s Encrypt: certbot -d "*.firma.pl" -d "firma.pl".
Czy mogę mieć wildcard na darmowym hostingu?
Zależy od hostingu. Większość współdzielonych hostingów (home.pl, nazwa.pl, cyber_Folks): obsługuje wildcard Let’s Encrypt. Darmowe hostingi (freehosting, 000webhost): zwykle nie. Sprawdź panel → SSL → opcja wildcard.
Wildcard SSL a SEO – czy wpływa na pozycje?
Nie – Google nie rozróżnia wildcard od zwykłego certyfikatu. Liczy się: HTTPS (tak/nie), ważność certyfikatu (nie wygasły), prawidłowa konfiguracja (brak mixed content). Typ certyfikatu (wildcard/single/multi-domain, DV/OV/EV): zero wpływu na ranking.
Ile subdomen obejmuje wildcard?
Nieskończoność – wildcard nie ma limitu liczby subdomen. *.firma.pl chroni 1 subdomenę tak samo jak 1000. Ograniczenie: tylko jeden poziom (nie *.*.firma.pl).
