شهادة Wildcard SSL ضد الشهادة المفردة: متى تختار كل واحدة؟
شرح الفرق بين شهادات SSL المفردة والـ Wildcard، السيناريوهات التي تحتاج كل نوع، والتكلفة الإجمالية على المدى الطويل.
عندما يكبر مشروعك ويبدأ في إنشاء نطاقات فرعية (shop.example.sa، api.example.sa، admin.example.sa)، يأتي قرار: شهادة SSL منفصلة لكل واحد، أم شهادة Wildcard واحدة تغطّيهم جميعًا؟ هذا الدليل يحسم الأمر بالأرقام والسيناريوهات. اطّلع أولًا على أساسيات SSL و HTTPS لو لم تكن مألوفًا بهما.
ما هي الشهادة المفردة؟
تُحمي دومينًا واحدًا (وعادةً نطاق www.example.sa معه ضمنيًا). لو لديك:
example.sa✅www.example.sa✅shop.example.sa❌
تحتاج شهادة منفصلة لـ shop.
ما هي شهادة Wildcard؟
تُغطّي كل النطاقات الفرعية من مستوى واحد:
example.sa✅www.example.sa✅shop.example.sa✅api.example.sa✅anything.example.sa✅
ملاحظة مهمة: لا تُغطّي نطاقات فرعية متداخلة. مثلًا store.shop.example.sa لن تعمل بشهادة *.example.sa — تحتاج *.shop.example.sa منفصلة.
كيف تعمل تقنيًا؟
شهادة SSL تحوي حقل CN (Common Name) و SAN (Subject Alternative Names):
- مفردة:
CN = example.sa،SAN = www.example.sa - Wildcard:
CN = *.example.sa، يطابق أي نطاق فرعي واحد
عند الاتصال، المتصفح يفحص الـ CN/SAN ويتأكد أن النطاق المطلوب مشمول. لو لا، يُظهر تحذير.
متى تختار المفردة؟
- موقع واحد بسيط (
example.saفقط) - 1–2 نطاقات فرعية يمكن إصدار شهادات Let's Encrypt مجانية لها
- بداية المشروع
- ميزانية محدودة جدًا
التكلفة: مجاني (Let's Encrypt) أو 100–300 ر.س / سنة للمدفوعة.
متى تختار Wildcard؟
1. منصة SaaS متعددة المستأجرين
لو عملاؤك يصلون عبر customer1.yoursaas.sa، customer2.yoursaas.sa، تحتاج Wildcard بشكل قاطع. إنشاء شهادة جديدة لكل عميل غير عملي.
2. بيئات متعددة (Staging, Dev)
staging.example.sa، dev.example.sa، qa.example.sa، preview.example.sa — كلها مغطّاة بشهادة واحدة.
3. نطاقات فرعية كثيرة (10+)
إدارة 30 شهادة منفصلة كابوس تشغيلي. كل واحدة تحتاج تجديد، مراقبة انتهاء، فحص دوري. Wildcard واحدة أبسط بكثير.
4. تكامل CDN / API
cdn.example.sa، api.example.sa، images.example.sa، static.example.sa — Wildcard تُغطّيهم بضربة واحدة.
5. تطبيقات تنشئ نطاقات ديناميكيًا
تطبيقات مثل GitHub Pages أو Vercel تنشئ subdomain لكل مشروع. تحتاج Wildcard.
التكلفة: 200–1,500 ر.س / سنة (مدفوعة)، أو مجاني عبر Let's Encrypt (لكن تحتاج تحقق DNS-01).
Let's Encrypt Wildcard المجانية
Let's Encrypt تدعم Wildcard مجانًا منذ 2018، لكن:
- تحتاج تحقق DNS-01 (وضع سجل TXT في كل تجديد)
- تجديد كل 90 يومًا
- تحتاج أتمتة عبر سكربتات certbot أو acme.sh + تكامل مع مزود الـ DNS API
عملاء بيست هوست يحصلون على هذا تلقائيًا في باقات Pro و Business.
مقارنة سريعة
| المعيار | مفردة | Wildcard |
|---|---|---|
| الدومينات المغطّاة | 1 | غير محدود (مستوى واحد) |
| السعر السنوي (مدفوعة) | 100–300 ر.س | 200–1,500 ر.س |
| السعر (Let's Encrypt) | مجاني | مجاني (مع DNS-01) |
| الإدارة | بسيطة لشهادة واحدة، معقدة لعشرات | بسيطة (شهادة واحدة) |
| المرونة | ضعيفة | عالية |
| الأمان | متطابق | متطابق |
| دعم الـ Browsers | شامل | شامل |
| ملاءمة Multi-tenant | لا | نعم |
| تجديد | لكل شهادة | شهادة واحدة |
ما لا تغطّيه Wildcard
- نطاقات مختلفة تمامًا (
anothersite.sa) — تحتاج SAN/Multi-Domain - نطاقات فرعية متداخلة (
a.b.example.sa) — تحتاج Wildcard أعمق - بروتوكولات غير HTTPS (FTP، SMTP) — تحتاج شهادات منفصلة عادة
- IP addresses — الشهادات تطابق أسماء، ليس IPs
مخاطر Wildcard
شهادة واحدة تغطّي كل نطاقاتك الفرعية تعني أن مفتاحها الخاص "كل أو لا شيء":
- لو سُرّب المفتاح، كل نطاقاتك مكشوفة
- لو نطاق فرعي تعرّض لاختراق، الـ Forensic أصعب
للحالات الأمنية الصارمة، شهادة منفصلة لكل نطاق حساس قد تكون أفضل (مثل billing.example.sa لو فيها بيانات دفع).
التوصية حسب نوع المشروع
| المشروع | التوصية |
|---|---|
| موقع تعريفي | DV مفردة مجانية |
| متجر إلكتروني (1–2 subdomain) | DV مفردة مجانية لكل واحد |
| منصة SaaS | Wildcard |
| شركة كبيرة (نطاقات كثيرة) | Wildcard + OV |
| بنك / مالية | EV + Wildcard للنطاقات الجانبية |
| تطبيق Multi-tenant | Wildcard إجباري |
| موقع مع API على subdomain | Wildcard أو SAN |
كيف تختار CA (Certificate Authority)؟
للـ Wildcard المدفوعة، أبرز المُصدِرين:
| الـ CA | السعر | المزايا |
|---|---|---|
| Let's Encrypt | مجاني | الأكثر شعبية، أتمتة سهلة |
| Sectigo | 200–500 ر.س | جودة عالية، دعم 24/7 |
| DigiCert | 600–1,500 ر.س | الأرقى، يثق به العملاء الكبار |
| GeoTrust | 300–700 ر.س | علامة معروفة |
| RapidSSL | 200–400 ر.س | إصدار سريع |
كيف تثبّت Wildcard؟
عبر cPanel
- SSL/TLS → Generate CSR
- أرسل CSR للمُصدر
- أكّد ملكية الدومين (DNS-01 أو email)
- ارفع الشهادة + Intermediate
عبر Nginx
server {
listen 443 ssl;
server_name *.example.sa example.sa;
ssl_certificate /etc/ssl/wildcard.crt;
ssl_certificate_key /etc/ssl/wildcard.key;
}
عبر Cloudflare
- أضف الدومين لـ Cloudflare
- اطلب Universal SSL (مجاني)
- تشمل تلقائيًا الدومين + كل النطاقات الفرعية المُدارة
نصيحة: راقب تواريخ الانتهاء
Wildcard واحدة، لكن لو انتهت = كل نطاقاتك تتعطّل دفعة واحدة. أعدّ تذكيرات قبل 30 و 14 و 7 أيام. أو الأفضل: استخدم أتمتة Let's Encrypt مع certbot renew.
الخلاصة
اختر المفردة للمشاريع الصغيرة (مجانية وكافية). اختر Wildcard متى ما تجاوزت 3–4 نطاقات فرعية، أو لو عملك يخلق نطاقات فرعية ديناميكيًا. فريقنا يساعدك في تثبيت أي نوع، ويُدير التجديد التلقائي. الاستضافة معنا تشمل Let's Encrypt افتراضيًا بدون رسوم إضافية.