Alle SSL-Artikel SSL & Zertifikate

Wildcard-SSL-Zertifikate verstehen

Ein Wildcard-SSL-Zertifikat sichert eine Domain und alle ihre Subdomains mit einem einzigen Zertifikat. Anstatt separate Zertifikate für www.example.com, blog.example.com und api.example.com zu erhalten, deckt ein einzelnes *.example.com-Wildcard alle ab.

Wie Wildcards funktionieren

Das Wildcard-Zeichen * entspricht jeder einzelstufigen Subdomain:

ZertifikatDeckt abDeckt nicht ab
*.example.comwww.example.com, blog.example.com, api.example.com, anything.example.comexample.com (Basisdomain), sub.blog.example.com (verschachtelt)
*.example.com + example.comAlle Subdomains + die BasisdomainVerschachtelte Subdomains
*.sub.example.coma.sub.example.com, b.sub.example.comsub.example.com, example.com

Wichtige Einschränkung: Wildcards decken nur eine Ebene ab. *.example.com deckt NICHT a.b.example.com ab.

Wildcard vs. Multi-Domain (SAN)

WildcardMulti-Domain (SAN)
Deckt abAlle Subdomains einer EbeneBestimmte aufgelistete Domains
FlexibilitätJede Subdomain funktioniert automatischJede Domain muss explizit aufgelistet werden
Neue SubdomainsSofort abgedecktErfordert neues Zertifikat
DomainübergreifendNein (eine Basisdomain)Ja (example.com + other.com)
DNS-01 erforderlich✅ JaNein (HTTP-01 oder DNS-01)

Wildcard verwenden, wenn: Sie viele Subdomains haben oder häufig neue hinzufügen. SAN verwenden, wenn: Sie eine kleine, feste Anzahl bestimmter Domains/Subdomains haben.

Wann ein Wildcard-Zertifikat verwenden

Gute Anwendungsfälle:

  • Sie betreiben viele Subdomains (app., api., docs., blog., staging. usw.) und möchten nicht für jede ein separates Zertifikat verwalten
  • Sie fügen häufig neue Subdomains hinzu — sie werden automatisch ohne Neuausstellung abgedeckt
  • Entwicklungs-/Staging-Umgebungen, in denen sich Subdomain-Namen oft ändern

Wenn Wildcards nicht passen:

  • Sie müssen verschiedene Basisdomains abdecken (example.com + example.org) — verwenden Sie stattdessen ein SAN-Zertifikat
  • Sie benötigen Isolation pro Subdomain — wenn der Schlüssel einer Subdomain kompromittiert wird, deckt das Wildcard-Zertifikat alle Subdomains ab
  • Sie können keine DNS-Einträge ändern — die Wildcard-Ausstellung erfordert DNS-01, was DNS-Zugriff erfordert

Sicherheitsüberlegungen

Ein Wildcard-Zertifikat bedeutet, dass ein privater Schlüssel alle Subdomains schützt. Wenn der Schlüssel kompromittiert wird, kann ein Angreifer jede Subdomain imitieren — nicht nur eine.

Gegenmassnahmen:

  • Zugriff auf den privaten Schlüssel einschränken — nur der/die Server, die ihn benötigen, sollten die Schlüsseldatei haben
  • Kurzlebige Zertifikate verwenden — Let’s Encrypts 90-Tage-Gültigkeit begrenzt das Gefährdungsfenster
  • Separate Zertifikate in Betracht ziehen für hochsensible Subdomains (z. B. admin.example.com könnte ein eigenes Zertifikat rechtfertigen)

Ein kostenloses Wildcard-Zertifikat erhalten

Let’s Encrypt unterstützt Wildcard-Zertifikate über die DNS-01-Challenge kostenlos. Die meisten Wettbewerber (ZeroSSL, SSL For Free) beschränken Wildcards auf kostenpflichtige Pläne.

Mit GetHTTPS:

  1. Geben Sie *.example.com ein (+ example.com, wenn Sie die Basisdomain möchten)
  2. Fügen Sie den DNS-TXT-Eintrag hinzu, den GetHTTPS bereitstellt
  3. Warten Sie auf die DNS-Propagierung (GetHTTPS prüft dies vorab für Sie)
  4. Verifizieren und laden Sie Ihre Zertifikatsdateien herunter

Vollständige Schritt-für-Schritt-Wildcard-Anleitung →

Ein Wildcard-Zertifikat installieren

Wie bei jedem Zertifikat — der Server weiss nicht, dass es ein Wildcard ist:

Nginx:

server {
    listen 443 ssl http2;
    server_name *.example.com example.com;

    ssl_certificate     /etc/ssl/fullchain.pem;
    ssl_certificate_key /etc/ssl/privkey.pem;
}

Apache:

<VirtualHost *:443>
    ServerName example.com
    ServerAlias *.example.com

    SSLEngine on
    SSLCertificateFile /etc/ssl/cert.pem
    SSLCertificateKeyFile /etc/ssl/privkey.pem
    SSLCertificateChainFile /etc/ssl/chain.pem
</VirtualHost>

Häufig gestellte Fragen

Warum kann ich HTTP-01 nicht für Wildcards verwenden?

HTTP-01 validiert einen bestimmten Hostnamen, indem eine Datei unter http://hostname/.well-known/acme-challenge/... platziert wird. Ein Wildcard deckt unendlich viele Subdomains ab — es gibt keinen einzelnen Server, auf dem die Datei platziert werden könnte. DNS-01 beweist die Kontrolle über die gesamte Domain durch einen TXT-Eintrag auf Zonenebene.

Deckt *.example.com auch example.com ab?

Nein. Die Basisdomain ist separat. Fügen Sie sowohl *.example.com als auch example.com zu Ihrer Zertifikatsanforderung hinzu. GetHTTPS und Certbot unterstützen beides in einem einzigen Zertifikat.

Kann ich ein kostenloses Wildcard von ZeroSSL erhalten?

Nein. ZeroSSL beschränkt Wildcard-Zertifikate auf kostenpflichtige Pläne (ab 10 $/Monat). Let’s Encrypt bietet Wildcards kostenlos an.

Kann ich mehrere Wildcard-Zertifikate für dieselbe Domain haben?

Ja. Es gibt keine technische Begrenzung. Sie könnten *.example.com und *.staging.example.com als separate Zertifikate haben. Das Rate Limit von Let’s Encrypt liegt bei 50 Zertifikaten pro registrierter Domain pro Woche.

Deckt ein Wildcard-Zertifikat verschachtelte Subdomains ab?

Nein. *.example.com deckt www.example.com und api.example.com ab, aber NICHT dev.api.example.com. Für verschachtelte Subdomains benötigen Sie ein separates Wildcard wie *.api.example.com.

Wie teste ich, ob mein Wildcard-Zertifikat für eine bestimmte Subdomain funktioniert?

Richten Sie den DNS der Subdomain auf Ihren Server und testen Sie:

echo | openssl s_client -connect subdomain.example.com:443 -servername subdomain.example.com 2>/dev/null | openssl x509 -noout -subject -dates

Das Zertifikat sollte CN=*.example.com oder *.example.com im SAN-Feld anzeigen. Wenn Sie einen Verbindungsfehler erhalten, zeigt der DNS der Subdomain nicht auf den Server, der das Wildcard-Zertifikat hostet.

Kann ich ein Wildcard-Zertifikat auf mehreren Servern verwenden?

Ja. Installieren Sie die gleichen fullchain.pem und privkey.pem auf jedem Server, der Subdomains verarbeitet. Das Zertifikat weiss nicht, auf welchem Server es sich befindet — es validiert nur den Hostnamen.

Verwandte Artikel

Erste Schritte 2026-05-07
So erhalten Sie ein kostenloses Wildcard-SSL-Zertifikat
Erhalten Sie ein kostenloses Wildcard-SSL-Zertifikat (*.example.com) von Let's Encrypt mit GetHTTPS. Erfordert nur die DNS-01-Challenge. Abdeckung der DNS-Einrichtung für Cloudflare, Route 53, GoDaddy und Namecheap.
SSL & Zertifikate 2026-05-07
Multi-Domain SSL-Zertifikate (SAN)
Ein Multi-Domain SAN-Zertifikat sichert mehrere verschiedene Domains mit einem einzigen Zertifikat. Erfahren Sie, wie SAN funktioniert, wann Sie es statt Wildcard verwenden sollten und wie Sie eines mit GetHTTPS erhalten.
SSL & Zertifikate 2026-05-07
SSL-Zertifikatstypen erklärt: DV, OV und EV
Vergleichen Sie Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV) SSL-Zertifikate. Erfahren Sie die Unterschiede bei Verifizierung, Kosten und wann Sie welchen Typ wirklich brauchen.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten