Certificado wildcard
Certificado SSL/TLS que cubre un dominio y todos sus subdominios de un nivel con un único certificado (*.ejemplo.com).
Qué es Certificado wildcard
Un certificado wildcard (comodín) emplea un asterisco en el nombre —por ejemplo *.ejemplo.com— para validar cualquier subdominio directo: www.ejemplo.com, tienda.ejemplo.com, blog.ejemplo.com... Evita tener que emitir y gestionar un certificado distinto por cada subdominio.
Cómo funciona
Al pedirlo, la autoridad certificadora valida que controlas el dominio (normalmente vía un registro DNS) y emite el comodín. El servidor lo presenta para cualquier subdominio del nivel cubierto. Importante: *.ejemplo.com cubre sub.ejemplo.com pero no algo.sub.ejemplo.com (otro nivel) ni el dominio raíz "pelado" salvo que se incluya aparte.
Cómo protegerte
Como usuario, simplemente verás el candado en todos los subdominios de esa web. Para administradores: cómodo, pero si la clave privada del wildcard se filtra, quedan expuestos todos los subdominios a la vez; conviene protegerla muy bien o usar certificados individuales automatizados (Let's Encrypt) cuando sea viable.
Datos curiosos
- Let's Encrypt empezó a emitir wildcards gratuitos en 2018 (con validación DNS).
- No existen wildcards de varios niveles: *.*.ejemplo.com no es válido.
- Un wildcard mal custodiado es un riesgo: una sola clave para muchos servicios.
Preguntas frecuentes
¿*.ejemplo.com cubre ejemplo.com sin "www"?
No por defecto. El dominio raíz hay que añadirlo como nombre adicional en el certificado.
¿Cubre sub.sub.ejemplo.com?
No. El comodín solo abarca un nivel. Para el siguiente nivel necesitarías otro certificado.
¿Es más seguro un wildcard?
Es más cómodo, no más seguro. De hecho concentra riesgo: una clave para todos los subdominios.