diff --git a/k8s/deployment.yaml b/k8s/deployment.yaml
index 2e6a08d..a2ca2c7 100644
--- a/k8s/deployment.yaml
+++ b/k8s/deployment.yaml
@@ -20,8 +20,6 @@ spec:
         ports:
         - containerPort: 80
 ---
-# NOTA: Il servizio ora è ClusterIP (interno), non più LoadBalancer.
-# Non costa nulla e non ha IP pubblico diretto.
 apiVersion: v1
 kind: Service
 metadata:
@@ -34,23 +32,21 @@ spec:
   - port: 80
     targetPort: 80
 ---
-# LA PARTE NUOVA: INGRESS
 apiVersion: networking.k8s.io/v1
 kind: Ingress
 metadata:
   name: ${APP_NAME}-ingress
   annotations:
-    # Queste due righe attivano la magia SSL automatica
     cert-manager.io/cluster-issuer: "letsencrypt-prod"
     kubernetes.io/tls-acme: "true"
 spec:
   ingressClassName: nginx
   tls:
   - hosts:
-    - ${APP_NAME}.demo.bytebuilder.it  
-    secretName: ${APP_NAME}-tls   
+    - ${APP_NAME}.${BASE_DOMAIN} # <--- Qui avviene la magia (varco.miosito.com OPPURE varco.demo.miosito.com)
+    secretName: ${APP_NAME}-tls
   rules:
-  - host: ${APP_NAME}.demo.bytebuilder.it 
+  - host: ${APP_NAME}.${BASE_DOMAIN}
     http:
       paths:
       - path: /