Ein TLS-Zertifikat, das eine Domain und alle ihre Subdomains mit einem einzigen Zertifikat sichert. Statt dass *.example.com separate Zertifikate für mail.example.com, api.example.com usw. benötigt, deckt ein Wildcard alles ab.
Wildcards skalieren schlecht über eine Subdomain-Tiefe hinaus. *.example.com deckt sub.example.com ab, nicht aber deep.sub.example.com. Dafür brauchst du ein separates Zertifikat. Viele Registrars und CAs pushen stattdessen Multi-Domain-(SAN-)Zertifikate, nicht weil sie technisch überlegen sind – sie sind einfach leichter zu verkaufen.
Wildcards sind wichtig, wenn du schnell Infrastruktur hochfährst, Traffic durch Subdomains proxist oder Services betreibst, bei denen die Subdomain-Kardinalität hoch oder unvorhersehbar ist. Let's Encrypt stellt sie kostenlos aus. Selbstsignierte Wildcards kosten auch nichts. Der Haken: Browser werden bei selbstsigniert Zertifikaten schreien, und ACME-Validierung (DNS oder HTTP) erfordert, dass du bei jeder Erneuerung die Kontrolle über die Basis-Domain nachweist.
Für Bulletproof-Setups: Wildcard + DNSSEC + CAA-Records, die nur deinen CA whitelist = schwerer zu hijacken. CAA-Records besonders: Sie sagen CAs „nur von dieser Liste ausstellen." Kein CAA = jede CA kann für deine Domain ausstellen.