Wildcard-сертификат

Wildcard-сертификат покрывает произвольное количество одноуровневых поддоменов родительского домена. Это удобно для обслуживания многих субдоменов, мультитенантных приложений и динамических имён одним сертификатом и одним закрытым ключом. Звёздочка соответствует только одной DNS-метке: *.example.com покрывает a.example.com, но не a.b.example.com и не сам корневой домен. Среди минусов — больший радиус ущерба при компрометации ключа (любой поддомен становится подделываемым), более сложное управление жизненным циклом и более жёсткие требования УЦ (обычно DNS-01-валидация). Для чувствительных поддоменов предпочтительны отдельные сертификаты со строгой изоляцией ключей и коротким сроком.