Ein Wildcard-SSL-Zertifikat sichert eine Domain und alle ihre Subdomains mit einem einzigen Zertifikat. Anstatt separate Zertifikate für www.example.com, blog.example.com und api.example.com zu erhalten, deckt ein einzelnes *.example.com-Wildcard alle ab.
Wie Wildcards funktionieren
Das Wildcard-Zeichen * entspricht jeder einzelstufigen Subdomain:
| Zertifikat | Deckt ab | Deckt nicht ab |
|---|---|---|
*.example.com | www.example.com, blog.example.com, api.example.com, anything.example.com | example.com (Basisdomain), sub.blog.example.com (verschachtelt) |
*.example.com + example.com | Alle Subdomains + die Basisdomain | Verschachtelte Subdomains |
*.sub.example.com | a.sub.example.com, b.sub.example.com | sub.example.com, example.com |
Wichtige Einschränkung: Wildcards decken nur eine Ebene ab. *.example.com deckt NICHT a.b.example.com ab.
Wildcard vs. Multi-Domain (SAN)
| Wildcard | Multi-Domain (SAN) | |
|---|---|---|
| Deckt ab | Alle Subdomains einer Ebene | Bestimmte aufgelistete Domains |
| Flexibilität | Jede Subdomain funktioniert automatisch | Jede Domain muss explizit aufgelistet werden |
| Neue Subdomains | Sofort abgedeckt | Erfordert neues Zertifikat |
| Domainübergreifend | Nein (eine Basisdomain) | Ja (example.com + other.com) |
| DNS-01 erforderlich | ✅ Ja | Nein (HTTP-01 oder DNS-01) |
Wildcard verwenden, wenn: Sie viele Subdomains haben oder häufig neue hinzufügen. SAN verwenden, wenn: Sie eine kleine, feste Anzahl bestimmter Domains/Subdomains haben.
Wann ein Wildcard-Zertifikat verwenden
Gute Anwendungsfälle:
- Sie betreiben viele Subdomains (
app.,api.,docs.,blog.,staging.usw.) und möchten nicht für jede ein separates Zertifikat verwalten - Sie fügen häufig neue Subdomains hinzu — sie werden automatisch ohne Neuausstellung abgedeckt
- Entwicklungs-/Staging-Umgebungen, in denen sich Subdomain-Namen oft ändern
Wenn Wildcards nicht passen:
- Sie müssen verschiedene Basisdomains abdecken (
example.com+example.org) — verwenden Sie stattdessen ein SAN-Zertifikat - Sie benötigen Isolation pro Subdomain — wenn der Schlüssel einer Subdomain kompromittiert wird, deckt das Wildcard-Zertifikat alle Subdomains ab
- Sie können keine DNS-Einträge ändern — die Wildcard-Ausstellung erfordert DNS-01, was DNS-Zugriff erfordert
Sicherheitsüberlegungen
Ein Wildcard-Zertifikat bedeutet, dass ein privater Schlüssel alle Subdomains schützt. Wenn der Schlüssel kompromittiert wird, kann ein Angreifer jede Subdomain imitieren — nicht nur eine.
Gegenmassnahmen:
- Zugriff auf den privaten Schlüssel einschränken — nur der/die Server, die ihn benötigen, sollten die Schlüsseldatei haben
- Kurzlebige Zertifikate verwenden — Let’s Encrypts 90-Tage-Gültigkeit begrenzt das Gefährdungsfenster
- Separate Zertifikate in Betracht ziehen für hochsensible Subdomains (z. B.
admin.example.comkönnte ein eigenes Zertifikat rechtfertigen)
Ein kostenloses Wildcard-Zertifikat erhalten
Let’s Encrypt unterstützt Wildcard-Zertifikate über die DNS-01-Challenge kostenlos. Die meisten Wettbewerber (ZeroSSL, SSL For Free) beschränken Wildcards auf kostenpflichtige Pläne.
Mit GetHTTPS:
- Geben Sie
*.example.comein (+example.com, wenn Sie die Basisdomain möchten) - Fügen Sie den DNS-TXT-Eintrag hinzu, den GetHTTPS bereitstellt
- Warten Sie auf die DNS-Propagierung (GetHTTPS prüft dies vorab für Sie)
- Verifizieren und laden Sie Ihre Zertifikatsdateien herunter
Vollständige Schritt-für-Schritt-Wildcard-Anleitung →
Ein Wildcard-Zertifikat installieren
Wie bei jedem Zertifikat — der Server weiss nicht, dass es ein Wildcard ist:
Nginx:
server {
listen 443 ssl http2;
server_name *.example.com example.com;
ssl_certificate /etc/ssl/fullchain.pem;
ssl_certificate_key /etc/ssl/privkey.pem;
}
Apache:
<VirtualHost *:443>
ServerName example.com
ServerAlias *.example.com
SSLEngine on
SSLCertificateFile /etc/ssl/cert.pem
SSLCertificateKeyFile /etc/ssl/privkey.pem
SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>
Häufig gestellte Fragen
Warum kann ich HTTP-01 nicht für Wildcards verwenden?
HTTP-01 validiert einen bestimmten Hostnamen, indem eine Datei unter http://hostname/.well-known/acme-challenge/... platziert wird. Ein Wildcard deckt unendlich viele Subdomains ab — es gibt keinen einzelnen Server, auf dem die Datei platziert werden könnte. DNS-01 beweist die Kontrolle über die gesamte Domain durch einen TXT-Eintrag auf Zonenebene.
Deckt *.example.com auch example.com ab?
Nein. Die Basisdomain ist separat. Fügen Sie sowohl *.example.com als auch example.com zu Ihrer Zertifikatsanforderung hinzu. GetHTTPS und Certbot unterstützen beides in einem einzigen Zertifikat.
Kann ich ein kostenloses Wildcard von ZeroSSL erhalten?
Nein. ZeroSSL beschränkt Wildcard-Zertifikate auf kostenpflichtige Pläne (ab 10 $/Monat). Let’s Encrypt bietet Wildcards kostenlos an.
Kann ich mehrere Wildcard-Zertifikate für dieselbe Domain haben?
Ja. Es gibt keine technische Begrenzung. Sie könnten *.example.com und *.staging.example.com als separate Zertifikate haben. Das Rate Limit von Let’s Encrypt liegt bei 50 Zertifikaten pro registrierter Domain pro Woche.
Deckt ein Wildcard-Zertifikat verschachtelte Subdomains ab?
Nein. *.example.com deckt www.example.com und api.example.com ab, aber NICHT dev.api.example.com. Für verschachtelte Subdomains benötigen Sie ein separates Wildcard wie *.api.example.com.
Wie teste ich, ob mein Wildcard-Zertifikat für eine bestimmte Subdomain funktioniert?
Richten Sie den DNS der Subdomain auf Ihren Server und testen Sie:
echo | openssl s_client -connect subdomain.example.com:443 -servername subdomain.example.com 2>/dev/null | openssl x509 -noout -subject -dates
Das Zertifikat sollte CN=*.example.com oder *.example.com im SAN-Feld anzeigen. Wenn Sie einen Verbindungsfehler erhalten, zeigt der DNS der Subdomain nicht auf den Server, der das Wildcard-Zertifikat hostet.
Kann ich ein Wildcard-Zertifikat auf mehreren Servern verwenden?
Ja. Installieren Sie die gleichen fullchain.pem und privkey.pem auf jedem Server, der Subdomains verarbeitet. Das Zertifikat weiss nicht, auf welchem Server es sich befindet — es validiert nur den Hostnamen.