Alle SSL-Artikel SSL & Zertifikate

SSL-Zertifikate für Subdomains: Ihre Optionen erklärt

Sie brauchen HTTPS für eine Subdomain (blog.example.com, api.example.com, staging.example.com). Drei Optionen:

Option 1: Wildcard-Zertifikat (*.example.com)

Ein Zertifikat deckt alle Subdomains automatisch ab — einschließlich zukünftig erstellter.

VorteileNachteile
Deckt unbegrenzt viele Subdomains abErfordert DNS-01 Challenge (DNS-Zugang nötig)
Neue Subdomains funktionieren sofortEin privater Schlüssel für alle Subdomains (geteiltes Risiko)
Nur 1 Zertifikat zu verwaltenDeckt keine verschachtelten Subdomains ab (a.b.example.com)
Kostenlos von Let’s EncryptDeckt nicht die Basisdomain ab (example.com separat hinzufügen)

Am besten geeignet für: Viele Subdomains, häufig neue hinzufügen.

*.example.com deckt ab:
  ✅ www.example.com
  ✅ blog.example.com
  ✅ api.example.com
  ✅ staging.example.com
  ✅ anything.example.com
  ❌ example.com (separat hinzufügen)
  ❌ sub.blog.example.com (verschachtelt)

Wie Sie ein Wildcard-Zertifikat erhalten →

Option 2: SAN-Zertifikat (bestimmte Subdomains auflisten)

Listen Sie jede Subdomain explizit im Subject Alternative Name-Feld des Zertifikats auf.

VorteileNachteile
Kann HTTP-01 Challenge verwenden (einfacher)Jede Subdomain muss explizit aufgelistet werden
Kann verschiedene Basisdomains mischenHinzufügen einer Subdomain erfordert ein neues Zertifikat
Jeder Name wird einzeln validiertLet’s Encrypt Limit: 100 Namen pro Zertifikat
Kostenlos von Let’s EncryptMehr Verwaltungsaufwand bei häufigen Subdomain-Änderungen

Am besten geeignet für: Kleine, feste Gruppe von Subdomains (2-5).

SAN-Zertifikat deckt genau das ab, was Sie auflisten:
  ✅ example.com
  ✅ www.example.com
  ✅ blog.example.com
  ❌ api.example.com (wenn nicht aufgelistet)

In GetHTTPS geben Sie einfach alle benötigten Subdomains ein.

Option 3: Separates Zertifikat pro Subdomain

Jede Subdomain bekommt ihr eigenes Zertifikat.

VorteileNachteile
Maximale Isolation (separate Schlüssel)Höchster Verwaltungsaufwand
Unabhängige ErneuerungszeitpläneEin Zertifikat pro Subdomain zu verfolgen
Kompromittierung eines betrifft nicht die anderenMehr Serverkonfiguration
Funktioniert mit HTTP-01 pro Subdomain

Am besten geeignet für: Subdomains, die von verschiedenen Teams verwaltet werden, oder wenn Sicherheitsisolation wichtig ist.

Vergleichstabelle

WildcardSANSeparat
Abgedeckte SubdomainsAlle (unbegrenzt)Nur aufgelisteteEine pro Zertifikat
Neue SubdomainsAutomatischNeuausstellung nötigNeues Zertifikat nötig
Challenge-TypNur DNS-01HTTP-01 oder DNS-01HTTP-01 oder DNS-01
Zu verwaltende Zertifikate11N
SicherheitsisolationGeteilter SchlüsselGeteilter SchlüsselIsolierte Schlüssel
Kosten (Let’s Encrypt)KostenlosKostenlosKostenlos
Am besten fürDynamische SubdomainsFeste Gruppe (2-5)Team-Isolation

Häufige Szenarien

”Ich habe example.com und www.example.com

SAN-Zertifikat (am einfachsten). In GetHTTPS beide Namen eingeben. Dies ist die häufigste Konfiguration.

”Ich betreibe www, blog, api, docs, staging Subdomains”

Wildcard (*.example.com + example.com). Deckt alle aktuellen und zukünftigen Subdomains ab.

”Jede Subdomain ist die Website eines anderen Kunden”

Separate Zertifikate. Jeder Kunde verwaltet sein eigenes. Die Kompromittierung eines betrifft nicht die anderen.

”Ich habe example.com + example.org + Subdomains”

SAN-Zertifikat mit einer Kombination aus Domains + Wildcard: example.com, *.example.com, example.org. GetHTTPS unterstützt dies.

Häufig gestellte Fragen

Deckt *.example.com auch example.com selbst ab?

Nein. Die Basisdomain muss separat aufgelistet werden. In GetHTTPS fügen Sie sowohl *.example.com als auch example.com hinzu. Details →

Kann ich Wildcard und bestimmte Domains in einem Zertifikat mischen?

Ja. Ein einzelnes Let’s Encrypt-Zertifikat kann *.example.com, example.com und other.com als SAN-Einträge enthalten. Bis zu 100 Namen pro Zertifikat.

Welche Option ist am günstigsten?

Alle drei sind kostenlos mit Let’s Encrypt über GetHTTPS. Einige kommerzielle CAs verlangen Aufpreis für Wildcards (200-500 $/Jahr) und pro SAN (10-50 $ pro Stück). Mit Let’s Encrypt sind Kosten nie ein Faktor.

Meine Subdomain ist auf einem anderen Server. Kann ich dasselbe Zertifikat verwenden?

Ja. Installieren Sie dieselben fullchain.pem und privkey.pem auf beiden Servern. Das Zertifikat weiß nicht, auf welchem Server es sich befindet — es validiert nur den Domainnamen.

Verwandte Artikel

SSL & Zertifikate 2026-05-07
Wildcard-SSL-Zertifikate verstehen
Ein Wildcard-Zertifikat (*.example.com) sichert alle Subdomains mit einem einzigen Zertifikat. Erfahren Sie, wie Wildcards funktionieren, welche Einschraenkungen sie haben und wie Sie eines kostenlos erhalten.
SSL & Zertifikate 2026-05-07
Multi-Domain SSL-Zertifikate (SAN)
Ein Multi-Domain SAN-Zertifikat sichert mehrere verschiedene Domains mit einem einzigen Zertifikat. Erfahren Sie, wie SAN funktioniert, wann Sie es statt Wildcard verwenden sollten und wie Sie eines mit GetHTTPS erhalten.
Erste Schritte 2026-05-07
So erhalten Sie ein kostenloses Wildcard-SSL-Zertifikat
Erhalten Sie ein kostenloses Wildcard-SSL-Zertifikat (*.example.com) von Let's Encrypt mit GetHTTPS. Erfordert nur die DNS-01-Challenge. Abdeckung der DNS-Einrichtung für Cloudflare, Route 53, GoDaddy und Namecheap.
SSL & Zertifikate 2026-05-08
Welches SSL-Zertifikat brauche ich? Ein Entscheidungsleitfaden
Nicht sicher, welches SSL-Zertifikat Sie benötigen? Nutzen Sie diesen Entscheidungsleitfaden. Behandelt DV vs. OV vs. EV, Single vs. Wildcard vs. Multi-Domain, kostenlos vs. kostenpflichtig und Empfehlungen für jedes Szenario.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten