Certificat SSL Wildcard

SĂ©curisez tous vos sous-domaines avec un seul certificat.

Un certificat SSL wildcard couvre un domaine et tous ses sous-domaines de premier niveau. Au lieu d'obtenir des certificats séparés pour www.example.com, blog.example.com, et shop.example.com, un seul certificat *.example.com les sécurise tous.

Les wildcards sont particuliÚrement utiles pour les architectures avec de nombreux sous-domaines ou des sous-domaines dynamiques créés par les utilisateurs. Ils simplifient la gestion et réduisent les coûts dans le cas de certificats payants.

Cependant, les wildcards ont des limitations importantes qu'il faut comprendre avant de les adopter. Ce guide explore les avantages, les inconvénients, et les meilleures pratiques pour utiliser les certificats wildcard.

Avantages des Wildcards

Pourquoi choisir un certificat wildcard :

  • Couverture illimitĂ©e : un seul certificat couvre un nombre illimitĂ© de sous-domaines. IdĂ©al pour les plateformes multi-tenant.
  • Gestion simplifiĂ©e : un seul certificat Ă  renouveler au lieu de dizaines. Moins de risque d'oublier un renouvellement.
  • Sous-domaines dynamiques : les nouveaux sous-domaines sont automatiquement couverts sans intervention. Parfait pour les SaaS.
  • Économies : pour les certificats payants, un wildcard est moins cher que plusieurs certificats individuels.

Limitations des Wildcards

Ce qu'un wildcard ne peut pas faire :

  • Un seul niveau : *.example.com couvre blog.example.com mais PAS sub.blog.example.com. Les sous-sous-domaines nĂ©cessitent un wildcard sĂ©parĂ©.
  • Pas le domaine root : *.example.com ne couvre pas example.com (sans sous-domaine). Vous devez l'ajouter explicitement au certificat.
  • Risque de sĂ©curitĂ© : si la clĂ© privĂ©e est compromise, tous les sous-domaines sont affectĂ©s. La surface d'attaque est plus grande.
  • Challenge DNS requis : Let's Encrypt exige le challenge DNS-01 pour les wildcards. L'automatisation nĂ©cessite l'accĂšs Ă  l'API DNS.

Obtenir un Certificat Wildcard

Étapes pour obtenir un wildcard avec Let's Encrypt :

  1. Préparez l'accÚs DNS : vous aurez besoin de créer des enregistrements TXT. Pour l'automatisation, configurez l'API de votre registrar.
  2. Demandez le certificat : certbot certonly --manual --preferred-challenges dns -d "*.example.com" -d example.com.
  3. Créez l'enregistrement DNS : Certbot affiche la valeur à mettre dans _acme-challenge.example.com. Attendez la propagation.
  4. Automatisez avec plugins DNS : installez le plugin Certbot pour votre registrar (Cloudflare, Route53, etc.) pour un renouvellement automatique.

Obtention d'un Wildcard

Commandes pour différents scénarios :

#!/bin/bash
# Wildcard manuel (vous crĂ©ez les DNS vous-mĂȘme)
certbot certonly --manual --preferred-challenges dns \
    -d "*.example.com" -d example.com

# Wildcard automatisé avec Cloudflare
apt install python3-certbot-dns-cloudflare
# Créer /etc/letsencrypt/cloudflare.ini avec:
# dns_cloudflare_api_token = YOUR_TOKEN

certbot certonly --dns-cloudflare \
    --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
    -d "*.example.com" -d example.com

# Wildcard avec Route53 (AWS)
apt install python3-certbot-dns-route53
certbot certonly --dns-route53 -d "*.example.com" -d example.com

# VĂ©rifier le certificat wildcard
openssl x509 -in /etc/letsencrypt/live/example.com/cert.pem -noout -text | grep DNS

Pour l'automatisation, utilisez un plugin DNS. Le mode manuel nécessite une intervention à chaque renouvellement.

Bonnes Pratiques Wildcards

Utilisez les wildcards efficacement :

  • Automatisez avec plugins DNS : le mode manuel ne fonctionne pas pour le renouvellement automatique. Utilisez un plugin Certbot adaptĂ© Ă  votre registrar.
  • ProtĂ©gez la clĂ© privĂ©e : un wildcard compromis expose tous vos sous-domaines. Limitez l'accĂšs Ă  la clĂ© privĂ©e strictement.
  • Incluez le domaine root : n'oubliez pas d'ajouter example.com en plus de *.example.com pour couvrir le domaine sans sous-domaine.
  • Surveillez tous les sous-domaines : un seul certificat ne signifie pas une seule surveillance. Monitorez chaque sous-domaine important.

Checklist Wildcard

  • AccĂšs API DNS configurĂ©
  • Plugin Certbot DNS installĂ©
  • Domaine root inclus (example.com)
  • Renouvellement automatique testĂ©
  • ClĂ© privĂ©e sĂ©curisĂ©e
  • Surveillance active pour les sous-domaines

Questions Fréquentes

Un wildcard couvre-t-il les sous-sous-domaines ?

Non, *.example.com couvre sub.example.com mais pas deep.sub.example.com. Pour cela, vous auriez besoin de *.sub.example.com.

Puis-je avoir plusieurs wildcards sur le mĂȘme serveur ?

Oui, vous pouvez avoir *.example.com et *.other.com sur le mĂȘme serveur, ou mĂȘme *.sub.example.com en plus.

Le wildcard Let's Encrypt est-il gratuit ?

Oui, tous les certificats Let's Encrypt sont gratuits, y compris les wildcards.

Comment automatiser sans API DNS ?

C'est difficile. Vous pourriez scripter l'ajout de DNS via l'interface de votre registrar, mais c'est fragile. Préférez un registrar avec API.

Un wildcard est-il plus lent qu'un certificat simple ?

Non, les performances SSL sont identiques. Le wildcard ne contient qu'une entrée supplémentaire dans le champ Subject Alternative Name.

Dois-je utiliser un wildcard pour 2-3 sous-domaines ?

Pour si peu, des certificats individuels sont plus simples. Le wildcard devient avantageux Ă  partir de 5-10 sous-domaines ou pour des sous-domaines dynamiques.

Simplifiez avec les Wildcards

Les certificats wildcard sont parfaits pour les architectures avec de nombreux sous-domaines. Avec l'automatisation DNS, le renouvellement est aussi simple qu'un certificat standard.

Surveillez vos certificats wildcard avec MoniTao. Vous serez alerté avant l'expiration et pourrez réagir si le renouvellement automatique échoue.

Liens utiles

PrĂȘt Ă  dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs