Sichern Sie mehrere primäre Domains und alle ihre First-Level-Subdomains unter einem einzigen Zertifikat. Multi-Domain-Wildcard-SSL-Zertifikate beginnen ab 150 $/Jahr, mit DV-Optionen, die in Minuten ausgestellt werden, und OV-Optionen in 1-2 Werktagen.


Was ein Multi-Domain-Wildcard-SSL-Zertifikat ist
Ein Multi-Domain-Wildcard-SSL-Zertifikat kombiniert zwei Produkte in einem: ein Multi-Domain-(SAN-)Zertifikat und ein Wildcard-Zertifikat. Anstatt beide separat zu kaufen oder mehrere Zertifikate in Ihrer Infrastruktur zu betreiben, decken Sie mehrere verschiedene Domains und die Subdomains unter jeder einzelnen mit einem einzigen ausgestellten Zertifikat ab.
Die Funktionsweise basiert auf dem SAN-Feld. SAN, oder Subject Alternative Name, ist eine X.509-Erweiterung, die jede Domain auflistet, die ein einzelnes Zertifikat abdeckt. In diesem Feld können Einträge reguläre Domainnamen, Wildcard-Einträge oder eine Kombination aus beidem sein.

Eine typische Konfiguration sieht folgendermaßen aus:
- example.com
- *.example.com
- *.brand.net
Dieses einzelne Zertifikat sichert nun die Bare-Domain example.com, jede First-Level-Subdomain darunter (shop.example.com, blog.example.com usw.) sowie jede First-Level-Subdomain unter brand.net.
Die meisten Produkte in dieser Kategorie unterstützen bis zu 250 SANs insgesamt, obwohl einige Anbieter standardmäßig niedrigere Grenzen setzen und andere höhere. Beachten Sie, dass das Wildcard-Zeichen * genau eine Subdomain-Ebene abdeckt.
Multi-Domain-Wildcard vs. Wildcard vs. Multi-Domain-SAN
| Merkmal | Wildcard SSL | Multi-Domain-(SAN-)SSL | Multi-Domain-Wildcard-SSL |
|---|---|---|---|
| Sichert mehrere primäre Domains | Nein | Ja | Ja |
| Sichert unbegrenzte First-Level-Subdomains | Ja (eine Domain) | Nein | Ja (pro Domain) |
| Verfügbare Validierungsstufen | DV, OV | DV, OV, EV | DV, OV |
| Typische SAN-Kapazität | 1 Basis + Wildcard | Bis zu 250 | Bis zu 250 (je nach Anbieter) |
| Am besten geeignet für | Eine Domain mit vielen Subdomains | Mehrere verschiedene Domains | Mehrere Domains, jeweils mit Subdomains |
| SSL Dragon Startpreis | Zur Wildcard-Kategorie | Zur Multi-Domain-Kategorie | Ab 150 $/Jahr |
Die Wahl zwischen den drei Optionen hängt von Ihrer Domain-Struktur ab:
- Betreiben Sie eine Website mit vielen Subdomains? Ein Wildcard-Zertifikat erledigt das.
- Haben Sie mehrere separate Websites ohne Subdomain-Struktur? Ein Multi-Domain-(SAN-)Zertifikat ist günstiger und einfacher.
- Sobald Sie mehrere Websites und Subdomains unter jeder einzelnen haben, ist das Multi-Domain-Wildcard-Zertifikat das einzige Produkt, das beide Muster in einem Zertifikat abdeckt – weshalb Käufer mit Portfolios aus Marken oder gehosteten Client-Domains hier landen.
Validierungsstufen: DV und OV (und warum EV nicht verfügbar ist)
Multi-Domain-Wildcard-Zertifikate werden auf zwei Validierungsstufen ausgestellt: Domain Validation und Organization Validation. Jede überprüft etwas anderes über den Antragsteller, bevor das Zertifikat ausgestellt wird.
- DV überprüft nur, ob der Antragsteller die aufgeführten Domains kontrolliert.
Die Validierung erfolgt über eine von drei Methoden (E-Mail, DNS-Eintrag oder HTTP-Dateiprüfung), und Zertifikate werden in Minuten ausgestellt. Persönliche Websites und Entwicklungs-/Testumgebungen passen hier hinein, ebenso wie interne Tools und SaaS-Plattformen, bei denen Geschwindigkeit wichtiger ist als die angezeigte Organisationsidentität. - OV überprüft das antragstellende Unternehmen anhand offizieller Unterlagen:
Handelsregistereintrag, eingetragene Adresse und ein Rückruf an eine verifizierte Telefonnummer. Die Ausstellung dauert 1-2 Werktage. Der verifizierte Unternehmensname erscheint in den Zertifikatsdetails, wo Käufer und Sicherheitsteams (sowie Beschaffungsverantwortliche bei größeren Aufträgen) ihn einsehen können. E-Commerce-Websites, regulierte Branchen und jede Präsenz, bei der der Identitätsnachweis des Zertifikats einen kommerziellen Wert hat, profitieren von der OV-Prüfung.
Extended Validation wird für kein Multi-Domain-Wildcard-Produkt angeboten, nirgendwo.
Die Baseline Requirements des CA/Browser Forums verbieten Wildcard-SAN-Einträge in EV-Zertifikaten, und diese Regel gilt für jedes Zertifikat, das auch nur einen Wildcard-Eintrag enthält. Dies ist seit der ersten Definition von EV so und hat sich nicht geändert. Seiten, die behaupten, ein „EV Multi-Domain Wildcard“ existiere, liegen falsch. Wenn Sie EV für eine bestimmte Domain benötigen, kaufen Sie diese als separates EV-Einzeldomain-Zertifikat zusätzlich zu Ihrem Multi-Domain-Wildcard-Zertifikat.
Ein letzter Punkt, der direkt angesprochen werden sollte: Die Verschlüsselungsstärke ist bei DV, OV und EV identisch. Alle drei handeln während des TLS-Handshakes dieselbe 256-Bit-symmetrische Verschlüsselung aus. Die Validierungsstufe ändert, was die CA über den Antragsteller überprüft, nicht was über die Leitung verschlüsselt wird.
Die 47-tägige Zertifikatslaufzeit und was das für Multi-Domain-Käufer bedeutet
Am 11. April 2025 verabschiedete das CA/Browser Forum den Ballot SC-081v3, einen stufenweisen Zeitplan, der die maximale Laufzeit jedes öffentlichen TLS-Zertifikats auf 47 Tage reduziert. Der Zeitplan umfasst drei Phasen:
- Phase 1 – bereits seit dem 15. März 2026 in Kraft: Die maximale Gültigkeitsdauer öffentlicher TLS-Zertifikate beträgt nun 200 Tage.
- Phase 2 – 15. März 2027: Die Obergrenze sinkt auf 100 Tage.
- Phase 3 – 15. März 2029: Die Obergrenze sinkt auf 47 Tage.
Die Regel gilt für alle öffentlichen TLS-Zertifikate, jede Validierungsstufe (DV, OV, EV) und jeden Produkttyp: Wildcard, Multi-Domain und Multi-Domain-Wildcard eingeschlossen.
Multi-Domain-Wildcard-Käufer spüren die Änderung stärker als Käufer einzelner Zertifikate. Eine Erneuerung ist hier aufwendiger, weil Sie die Kontrolle über jede Domain in der SAN-Liste erneut nachweisen müssen, nicht nur über eine. Mit sinkender Gültigkeitsobergrenze potenziert sich dieser Betriebsaufwand. Bis 2029 werden Sie diesen Erneuerungszyklus etwa alle 6-7 Wochen durchführen. Wer langfristige Betriebsabläufe für ein Portfolio von Domains plant, sollte jetzt über Automatisierung nachdenken, nicht erst 2029.
Wenn Sie bereit sind zu automatisieren, beginnen Sie mit unserer ACME-Seite. Ein ehrlicher Hinweis: Nicht jedes Multi-Domain-Wildcard-Produkt auf dem Markt ist gleich automatisierungsfreundlich. DV-Produkte mit einfachen Domain-Control-Prüfungen lassen sich sauber automatisieren; OV-Produkte, die Zyklen zur erneuten Organisationsvalidierung erfordern, erzeugen Reibung, die ACME allein nicht beseitigt.
Häufige Anwendungsfälle
SSL Dragon führt EV-Zertifikate von vier Zertifizierungsstellen.
- Unternehmensportfolios mit mehreren Marken
Ein Unternehmen, das mehrere Marken-Domains sowie Subdomains unter jeder einzelnen besitzt (brandA.com, *.brandA.com, brandB.net, *.brandB.net), kann vier oder mehr separate Zertifikatskäufe durch ein einziges ausgestelltes Zertifikat ersetzen. - SaaS-Plattformen mit Mandanten-Subdomains
Wenn jeder Kunde eine eigene Subdomain wie customer1.app.com und customer2.app.com erhält, deckt die Wildcard-Abdeckung der App-Domain unbegrenzt viele Mandanten ab. Die verbleibenden SAN-Slots decken die Marketing-Website, die Statusseite und die API auf verschiedenen Domains ab. - Hosting-Anbieter und Agenturen
Die Verwaltung von Client-Domains über viele Marken hinweg, alle auf gemeinsamer Infrastruktur betrieben, passt perfekt zu diesem Produkt. Ein Zertifikat, ein Erneuerungszyklus, ein privater Schlüssel zum Rotieren. - Microsoft Exchange- und Kommunikationsumgebungen
Multi-Domain-Wildcard-Zertifikate funktionieren als Unified Communications Certificates (UCC), was Exchange benötigt, wenn mehrere Service-Hostnamen – autodiscover, mail, webmail und andere – auf demselben Zertifikat abgebildet werden müssen.
Multi-Domain-Wildcard-SSL-Zertifikate in unserem Sortiment
Fünf Produkte von vier Zertifizierungsstellen, aufgeteilt in DV und OV. Die obigen Karten zeigen Validierung und Ausstellungszeit sowie die Standard-SAN-Anzahl und den Preis für jedes Produkt. Nachfolgend finden Sie, was nicht auf den Karten steht: SAN-Erweiterungsgrenzen, enthaltene Leistungen und warum Sie sich für das eine oder andere entscheiden würden.

Sectigo PositiveSSL Multi-Domain Wildcard
Das Standardpaket umfasst 4 SANs und lässt sich beim Kauf auf bis zu 250 erweitern. Die Verschlüsselung erfolgt mit 256 Bit auf einem 2048-Bit-RSA-Schlüssel, mit ECC als Option. Ein kostenloses Site-Seal, unbegrenzte Neuausstellungen und unbegrenzte Server-Lizenzierung sind im Lieferumfang enthalten. Comodo CA wurde 2018 in Sectigo umbenannt: gleiche Root-Zertifikate, gleiches Vertrauen, anderer Name auf dem Badge.

GoGetSSL Multi-Domain Wildcard SSL
Zum niedrigsten Preis auf dieser Seite deckt GoGetSSL standardmäßig 3 SANs ab, mit Erweiterung auf 250. Im Lieferumfang enthalten: ein Site-Seal, kostenlose Neuausstellungen sowie Server-Lizenzierung. Die CA gehörte zu den ersten, die ein echtes Produkt in dieser Kategorie angeboten hat, und dieses Angebot bleibt der günstigste Einstiegspunkt für Käufer, die keine verifizierte Organisationsidentität benötigen.

GeoTrust True BusinessID Multi-Domain Wildcard
Standardmäßig 3 SANs, erweiterbar auf 250, mit dem verifizierten Unternehmensnamen in den Zertifikatsdetails. Das Produkt verfügt über eine umfangreiche Garantie, die von DigiCert, dem Eigentümer von GeoTrust, unterstützt wird. Das eigentliche Unterscheidungsmerkmal ist GeoTrusts FLEX-Funktion: Sie ermöglicht es, Wildcard-SAN-Einträge und Standard-SAN-Einträge auf demselben Zertifikat zu kombinieren, was nützlich ist, wenn nicht jede abzudeckende Domain einen Subdomain-Schutz benötigt.

Thawte SSL Webserver Multi-Domain Wildcard
Liegt auf derselben OV-Stufe wie GeoTrust, mit standardmäßig 3 SANs und Erweiterung auf 250. Es wird mit einem dynamischen Site-Seal in 18 Sprachen, unbegrenzter Server-Lizenzierung sowie unbegrenzten kostenlosen Neuausstellungen geliefert. Die Wahl zwischen Thawte und GeoTrust auf dieser Stufe hängt meist davon ab, welches Trust-Seal Ihre Zielgruppe kennt. Thawte hat in einigen regulierten Märkten eine stärkere Markenbekanntheit, GeoTrust in anderen.
Was Sie vor dem Kauf wissen sollten
- Alle aufgeführten Domains sind im Zertifikat öffentlich sichtbar. Jeder, der auf das Schloss klickt und die Zertifikatsdetails prüft, kann jede Domain in der SAN-Liste lesen. Wenn Sie nicht möchten, dass zwei Ihrer Marken öffentlich miteinander in Verbindung gebracht werden, verwenden Sie stattdessen separate Zertifikate.
- Ein Wildcard-SAN deckt die Bare-Domain nicht automatisch ab. Ein SAN-Eintrag von *.example.com deckt mail.example.com und shop.example.com ab, aber nicht example.com selbst. Fügen Sie die Bare-Domain als eigenen SAN-Eintrag hinzu, wenn Sie sie benötigen.
- Standard-Wildcards decken eine Subdomain-Ebene ab. *.example.com deckt mail.example.com ab, aber nicht dev.mail.example.com. Um tiefere Ebenen abzusichern, fügen Sie den tieferen Wildcard als separaten SAN-Eintrag hinzu, z. B. *.mail.example.com.
- Neuausstellungen sind kostenlos, aber das Ablaufdatum bleibt bestehen. Das Hinzufügen oder Entfernen eines SANs während der Laufzeit setzt die Uhr nicht zurück; das neue Zertifikat übernimmt das ursprüngliche Ablaufdatum. Bei DV-Produkten ist keine erneute Validierung erforderlich, um SANs zu ändern; bei OV-Produkten kann die bestehende Organisationsvalidierung in der Regel wiederverwendet werden, wenn die Änderung innerhalb des Gültigkeitsfensters erfolgt.
Häufig gestellte Fragen
Die meisten Produkte auf dieser Seite unterstützen bis zu 250 SANs insgesamt (1 primäre Domain + 249 zusätzliche). Standard-Pakete beginnen mit 3 oder 4 SANs; Sie können weitere einzeln beim Checkout hinzufügen. Einige Sectigo OV Multi-Domain-Wildcards unterstützen höhere Limits; überprüfen Sie die spezifische Produktseite für die genaue Obergrenze.
Link kopieren
Ja, kostenlos und unbegrenzt durch Neuausstellung. Das Ablaufdatum bleibt gleich; eine Neuausstellung verlängert die Gültigkeit nicht. Bei DV müssen Sie nur die Kontrolle über neu hinzugefügte Domains nachweisen; bei OV kann die Organisationsvalidierung normalerweise während der Gültigkeitsdauer des Zertifikats wiederverwendet werden, sodass Neuausstellungen nach der ersten schneller abgeschlossen werden.
Link kopieren
Funktional gesehen keine, in den meisten Fällen. UCC (Unified Communications Certificate) ist die ältere Bezeichnung, die in Microsoft Exchange und Communications Server-Kontexten verwendet wird. Ein Multi-Domain-Wildcard-Zertifikat funktioniert wie ein UCC und unterstützt die gleiche FQDN-Flexibilität, die Exchange für seine Autodiscover-, Mail- und Webmail-Hostnamen benötigt.
Link kopieren
Im obigen Validierungsabschnitt behandelt. Kurzversion: Die Baseline Requirements des CA/Browser Forum verbieten Wildcard-SAN-Einträge auf Extended Validation-Zertifikaten. Dies ist branchenüblich und keine Einschränkung von SSL Dragon. Käufer, die EV-Identität auf einem bestimmten Hostname benötigen, führen normalerweise zwei Zertifikate parallel aus — ein EV-Einzeldomänen-Zertifikat auf dem Flagship-Hostname und das Multi-Domain-Wildcard-Zertifikat für den Rest des Portfolios.
Link kopieren
Ja. Jedes Produkt auf dieser Seite beinhaltet unbegrenzte Server-Lizenzierung. Beachten Sie, dass sich „unbegrenzt“ auf das Recht zur Installation bezieht, nicht auf Best Practices für Sicherheit. Die Verteilung desselben privaten Schlüssels auf mehrere Server erhöht den Schadensumfang, falls ein Server kompromittiert wird. Verwenden Sie Private-Key-Rotationsrichtlinien, die für Ihre Bereitstellungsgröße geeignet sind.
Link kopieren
Bestehende Zertifikate bleiben bis zu ihrem ausgestellten Ablaufdatum gültig. Neue Zertifikate, die nach jedem Phasenstichtag ausgestellt werden, müssen die neue Obergrenze einhalten: 200 Tage jetzt, 100 Tage ab März 2027, 47 Tage ab März 2029. Bei 47 Tagen wird Automatisierung zu einer praktischen Anforderung; siehe unsere ACME-Seite für Setupanleitung.
Link kopieren
Verwenden Sie unser kostenloses CSR Generator Tool oder generieren Sie es auf Ihrem Server mit OpenSSL. Der Common Name (CN) muss eine Non-Wildcard-Domain sein; listen Sie alle Wildcard-Einträge (*.domain.com) stattdessen im SAN-Feld auf, niemals im CN.
Link kopieren
Wissen Sie nicht, was Sie brauchen?
Nutzen Sie unseren SSL-Wizard, um Ihre Optionen auszuwählen, und wir helfen Ihnen, das richtige SSL-Zertifikat zu finden.
Wissen Sie nicht, was Sie brauchen?

