Un certificado TLS que asegura un dominio y todos sus subdominios con un único certificado. En lugar de que *.example.com requiera certificados separados para mail.example.com, api.example.com, etc., un wildcard los cubre a todos.
Los wildcards se escalan mal más allá de un nivel de profundidad de subdominio. *.example.com cubre sub.example.com pero no deep.sub.example.com. Necesitas un certificado separado para eso. Muchos registradores y CAs impulsan certificados multi-dominio (SAN) en su lugar no porque sean técnicamente superiores—es solo que son más fáciles de vender.
Los wildcards importan si estás desplegando infraestructura rápidamente, proxy de tráfico a través de subdominios, o ejecutando servicios donde la cardinalidad de subdominios es alta o impredecible. Let's Encrypt los emite gratis. Los wildcards autofirmados tampoco cuestan nada. La trampa: los navegadores gritarán ante certificados autofirmados, y la validación ACME (DNS o HTTP) requiere que pruebes control del dominio base en cada renovación.
Para configuraciones bulletproof: wildcard + DNSSEC + registros CAA que whitelist solo tu CA = más difícil de secuestrar. Los registros CAA especialmente: le dicen a las CAs "solo emite de esta lista." Sin CAA = cualquier CA puede emitir para tu dominio.