Wildcard-Zertifikat
Was ist Wildcard-Zertifikat?
Wildcard-ZertifikatEin X.509-Zertifikat, dessen Subjektname mit einem Sternchen jede einzelne Subdomain einer bestimmten Domain abdeckt, etwa *.example.com.
Ein Wildcard-Zertifikat deckt beliebig viele Subdomains einer Eltern-Domain mit nur einem Label ab. Es ist praktisch, um zahlreiche Subdomains, Multi-Tenant-Anwendungen oder dynamische Namen mit nur einem Zertifikat und einem privaten Schlüssel zu bedienen. Das Sternchen gilt nur für ein einzelnes DNS-Label: *.example.com passt zu a.example.com, aber nicht zu a.b.example.com, und nie zur reinen Apex-Domain. Nachteile sind ein größerer Schaden bei Schlüsselkompromittierung (jede Subdomain wird fälschbar), aufwendigeres Lifecycle-Management und strengere Vorgaben der CAs (häufig DNS-01-Validierung). Für sensible Subdomains sind dedizierte Zertifikate mit starker Schlüsselisolierung und kurzer Laufzeit besser.
● Beispiele
- 01
*.example.com terminiert TLS für blog.example.com, shop.example.com und api.example.com.
- 02
Eine SaaS-Plattform stellt ein einziges *.tenants.example.com für alle Kunden-Subdomains aus.
● Häufige Fragen
Was ist Wildcard-Zertifikat?
Ein X.509-Zertifikat, dessen Subjektname mit einem Sternchen jede einzelne Subdomain einer bestimmten Domain abdeckt, etwa *.example.com. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Wildcard-Zertifikat?
Ein X.509-Zertifikat, dessen Subjektname mit einem Sternchen jede einzelne Subdomain einer bestimmten Domain abdeckt, etwa *.example.com.
Wie schützt man sich gegen Wildcard-Zertifikat?
Schutzmaßnahmen gegen Wildcard-Zertifikat kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Wildcard-Zertifikat?
Übliche alternative Bezeichnungen: Wildcard-TLS-Zertifikat.