Was ein Wildcard-Zertifikat eigentlich ist
Ein Wildcard-Zertifikat sichert nicht nur eine einzelne Adresse ab, sondern alle Subdomains einer Ebene auf einmal. Statt für shop.deine-domain.de, blog.deine-domain.de und api.deine-domain.de jeweils ein eigenes Zertifikat zu pflegen, deckt ein Wildcard mit dem Eintrag *.deine-domain.de sie alle gemeinsam ab. Das Sternchen steht dabei als Platzhalter für einen beliebigen Namen vor deiner Domain.
Wichtig ist die Einschränkung "eine Ebene": *.deine-domain.de gilt für app.deine-domain.de, aber nicht für kunde.app.deine-domain.de. Tiefer verschachtelte Subdomains brauchen einen eigenen Wildcard-Eintrag wie *.app.deine-domain.de. Auch die nackte Domain ohne Subdomain (deine-domain.de) ist von *.deine-domain.de nicht automatisch erfasst — die meisten Zertifikate werden deshalb mit beiden Namen zusammen ausgestellt.
Wildcard oder Einzelzertifikat — wo liegt der Unterschied?
Ein normales Zertifikat (oft als SAN- oder Einzelzertifikat bezeichnet) listet jeden Hostnamen einzeln auf. Du musst also vorher wissen, welche Subdomains du brauchst, und bei jeder neuen Subdomain das Zertifikat erweitern oder ein neues anlegen. Beim Wildcard ist das anders: Neue Subdomains funktionieren sofort, ohne dass du am Zertifikat etwas änderst.
Die Kehrseite: Ein Wildcard bündelt das Vertrauen in einem einzigen privaten Schlüssel. Wird dieser kompromittiert, sind potenziell alle Subdomains betroffen. Bei vielen sauber getrennten Diensten kann es deshalb sinnvoll sein, kritische Systeme bewusst mit eigenen Zertifikaten zu betreiben statt alles über ein Wildcard laufen zu lassen.
Wann sich ein Wildcard wirklich lohnt
- Du legst häufig neue Subdomains an, etwa pro Kunde, Projekt oder Umgebung (
staging.,dev.,test.). - Du betreibst eine Multi-Tenant-Anwendung, bei der jeder Mandant eine eigene Subdomain bekommt und du die Namen nicht im Voraus kennst.
- Du willst die Verwaltung schlank halten und nicht für jeden Dienst ein separates Zertifikat erneuern.
Hast du dagegen nur eine Handvoll fester Subdomains, die sich selten ändern, sind Einzelzertifikate meist unkomplizierter — gerade weil sie sich oft vollautomatisch per HTTP-Challenge ausstellen lassen.
Warum Wildcards die DNS-Challenge brauchen
Beim klassischen automatischen SSL prüft die Zertifizierungsstelle über die HTTP-Challenge, ob du eine Domain kontrollierst: Sie legt eine Datei auf deinem Webserver ab und ruft sie ab. Das geht aber nur für einen konkreten Hostnamen — für ein Sternchen funktioniert es nicht, weil es keinen einzelnen "Wildcard-Webserver" gibt.
Deshalb verlangt Let's Encrypt für Wildcard-Zertifikate die DNS-Challenge: Du musst einen bestimmten TXT-Eintrag namens _acme-challenge in der DNS-Zone deiner Domain setzen. Damit beweist du Kontrolle über die gesamte Domain — und genau das ist die Voraussetzung, um ein Zertifikat für alle Subdomains zu bekommen.
Wildcard per Let's Encrypt ausstellen — Schritt für Schritt
Das gängige Werkzeug dafür ist Certbot mit dem DNS-Plugin. Der grundsätzliche Ablauf mit manueller DNS-Eintragung sieht so aus:
- Befehl absetzen, der ein Wildcard anfordert:
certbot certonly --manual --preferred-challenges dns -d "deine-domain.de" -d "*.deine-domain.de" - Certbot zeigt dir einen Wert an, den du als
TXT-Eintrag unter_acme-challenge.deine-domain.dehinterlegen musst. - Den Eintrag in der DNS-Verwaltung deiner Domain anlegen und kurz warten, bis er aktiv ist. Prüfen kannst du das mit
dig TXT _acme-challenge.deine-domain.de. - Im Certbot-Dialog bestätigen — die Zertifizierungsstelle liest den Eintrag aus und stellt das Zertifikat aus.
Da Let's-Encrypt-Zertifikate nur 90 Tage gültig sind, willst du die Erneuerung automatisieren. Die manuelle Methode ist dafür unpraktisch. Komfortabler ist ein DNS-Plugin, das die TXT-Einträge über die API deines DNS-Anbieters selbst setzt — dann läuft die Verlängerung per Cronjob ohne dein Zutun. Prüfe vorab, ob dein DNS-Anbieter eine passende Schnittstelle bietet; nicht jeder Provider stellt eine API für automatische ACME-Einträge bereit.
Praxis-Hinweise, die oft übersehen werden
- CAA-Records: Mit einem
CAA-Eintrag legst du fest, welche Zertifizierungsstelle überhaupt für deine Domain ausstellen darf. Setzt du einen, achte darauf, dass Let's Encrypt (letsencrypt.org) erlaubt ist, sonst schlägt die Ausstellung fehl. - DNS-Propagation: Nach dem Setzen des
TXT-Eintrags kann es einen Moment dauern, bis er überall sichtbar ist. Zu früh bestätigt, scheitert die Challenge. - Wildcard heißt nicht "alles": Auch wenn das Zertifikat beliebige Subdomains abdeckt, muss jede davon trotzdem per DNS (etwa
A- oderCNAME-Eintrag) auf deinen Server zeigen und dort als virtueller Host eingerichtet sein.
Mit Nytrix umsetzen
Für die DNS-Challenge brauchst du eine vollständige DNS-Verwaltung — und genau die bekommst du bei den Nytrix-Domains. Verfügbar sind über 400 TLDs, eine .de startet bei 5,99 EUR im Jahr. Du verwaltest alle relevanten Einträge selbst, darunter A, AAAA, CNAME, MX, TXT und CAA — also alles, was du für den _acme-challenge-Eintrag und die Absicherung per CAA benötigst. DNSSEC und WHOIS-Schutz sind ohne Aufpreis dabei.
Willst du das Wildcard auf einem eigenen Server einsetzen, bietet sich ein vServer mit vollem Root-Zugriff an (BASIC-4 ab 9,99 EUR im Monat, mit eigener IPv4). Dort installierst du Certbot samt DNS-Plugin und automatisierst die Erneuerung per Cronjob. Geht es dir eher um klassisches Webhosting, ist im KeyHelp-Panel ohnehin kostenloses Let's-Encrypt-SSL pro Domain enthalten — für einzelne Hostnamen ist das oft der einfachste Weg, ganz ohne manuelle Challenge.
Alle Tarife laufen Prepaid ohne Mindestlaufzeit und mit inkludiertem DDoS-Schutz. Du lädst Guthaben auf, buchst nur, was du brauchst, und bist an keinen Vertrag gebunden. Mehr Anleitungen rund um Domains, TLS und Serverbetrieb findest du im Nytrix-Blog.