Proteggi diversi domini primari e tutti i loro sottodomini di primo livello con un unico certificato. I certificati SSL wildcard multi-dominio partono da $150/anno, con opzioni DV emesse in pochi minuti e opzioni OV in 1-2 giorni lavorativi.


Cos’e un Certificato SSL Wildcard Multi-Dominio
Un certificato SSL wildcard multi-dominio combina due prodotti in uno: un certificato multi-dominio (SAN) e un certificato wildcard. Invece di acquistarli separatamente o gestire piu certificati nella propria infrastruttura, e possibile proteggere diversi domini distinti e i sottodomini di ciascuno con un unico certificato emesso.
Il meccanismo si basa sul campo SAN. SAN, ovvero Subject Alternative Name, e un’estensione X.509 che elenca tutti i domini coperti da un singolo certificato. All’interno di quel campo, le voci possono essere nomi di dominio ordinari, voci wildcard o una combinazione di entrambi.

Una configurazione tipica si presenta cosi:
- example.com
- *.example.com
- *.brand.net
Quel singolo certificato protegge ora il dominio base example.com, ogni sottodominio di primo livello sotto di esso (shop.example.com, blog.example.com e cosi via) e ogni sottodominio di primo livello sotto brand.net.
La maggior parte dei prodotti in questa categoria supporta fino a 250 SAN in totale, anche se alcuni brand hanno un limite inferiore per impostazione predefinita e altri arrivano piu in alto. Si noti che il carattere wildcard * copre esattamente un livello di sottodominio.
Multi-Domain Wildcard vs Wildcard vs Multi-Domain SAN
| Caratteristica | Wildcard SSL | Multi-Domain (SAN) SSL | Multi-Domain Wildcard SSL |
|---|---|---|---|
| Protegge piu domini primari | No | Si | Si |
| Protegge sottodomini di primo livello illimitati | Si (un dominio) | No | Si (per dominio) |
| Livelli di validazione disponibili | DV, OV | DV, OV, EV | DV, OV |
| Capacita SAN tipica | 1 base + wildcard | Fino a 250 | Fino a 250 (varia per brand) |
| Ideale per | Un dominio con molti sottodomini | Diversi domini distinti | Diversi domini, ciascuno con sottodomini |
| Prezzo di partenza SSL Dragon | Vedi categoria Wildcard | Vedi categoria Multi-Domain | Da $150/anno |
La scelta tra i tre dipende dalla struttura dei tuoi domini:
- Gestisci un solo sito web con molti sottodomini? Un certificato wildcard e sufficiente.
- Hai diversi siti web separati senza una struttura di sottodomini di cui preoccuparti? Un certificato multi-domain (SAN) e piu economico e semplice.
- Quando hai diversi siti web e sottodomini sotto ciascuno, il multi-domain wildcard e l’unico prodotto che copre entrambi i casi con un unico certificato, ed e per questo che chi gestisce portfolio di brand o domini di clienti in hosting finisce per sceglierlo.
Livelli di Validazione: DV e OV (e Perche EV Non e Disponibile)
I certificati wildcard multi-dominio vengono emessi a due livelli di validazione: Domain Validation e Organization Validation. Ciascuno verifica qualcosa di diverso sul richiedente prima che il certificato venga emesso.
- DV verifica solo che il richiedente controlli i domini elencati.
La validazione avviene tramite uno dei tre metodi (email, record DNS o verifica file HTTP) e i certificati vengono emessi in pochi minuti. I siti personali e gli ambienti di sviluppo/test rientrano in questa categoria, insieme agli strumenti interni e alle piattaforme SaaS dove la velocita conta piu dell’identita dell’organizzazione visualizzata. - OV verifica l’azienda richiedente attraverso i registri ufficiali:
Registrazione aziendale, indirizzo registrato e una richiamata a un numero di telefono verificato. L’emissione richiede 1-2 giorni lavorativi. Il nome dell’azienda verificata appare nei dettagli del certificato, dove acquirenti e team di sicurezza (e i responsabili degli acquisti, nelle trattative piu grandi) possono vederlo. I siti di e-commerce, i settori regolamentati e qualsiasi proprieta in cui la dichiarazione di identita del certificato ha valore commerciale traggono vantaggio dalla verifica OV.
Extended Validation non e disponibile per nessun prodotto wildcard multi-dominio, in nessun caso.
I Baseline Requirements del CA/Browser Forum vietano le voci SAN wildcard sui certificati EV, e la regola si applica a qualsiasi certificato che includa anche una sola voce wildcard. Questa disposizione e in vigore sin dalla prima definizione dell’EV e non e mai cambiata. Le pagine che affermano l’esistenza di un “EV multi-domain wildcard” sono errate. Se hai bisogno di EV per un dominio specifico, acquistalo come certificato EV a dominio singolo separato, insieme al tuo certificato wildcard multi-dominio.
Un ultimo punto che vale la pena sottolineare direttamente: la forza della crittografia e identica tra DV, OV ed EV. Tutti e tre negoziano la stessa crittografia simmetrica a 256 bit durante l’handshake TLS. Il livello di validazione cambia cio che la CA verifica sul richiedente, non cio che viene cifrato sul canale.
La Durata del Certificato di 47 Giorni e Cosa Significa per gli Acquirenti Multi-Dominio
L’11 aprile 2025, il CA/Browser Forum ha approvato il Ballot SC-081v3, un calendario graduale che riduce la durata massima di ogni certificato TLS pubblico a 47 giorni. Il calendario prevede tre fasi:
- Fase 1 – gia in vigore dal 15 marzo 2026: la validita massima dei certificati TLS pubblici e ora di 200 giorni.
- Fase 2 – 15 marzo 2027: il limite scende a 100 giorni.
- Fase 3 – 15 marzo 2029: il limite scende a 47 giorni.
La regola si applica a tutti i certificati TLS pubblici, a ogni livello di validazione (DV, OV, EV) e a ogni tipo di prodotto: wildcard, multi-dominio e multi-domain wildcard inclusi.
Gli acquirenti di certificati wildcard multi-dominio risentono del cambiamento piu di chi gestisce un singolo certificato. Un rinnovo in questo caso e piu oneroso perche occorre dimostrare nuovamente il controllo di ciascun dominio nell’elenco SAN, non solo di uno. Man mano che il limite di validita si abbassa, quel costo operativo si moltiplica. Entro il 2029, si dovra eseguire quel ciclo di rinnovo circa ogni 6-7 settimane. Chiunque stia pianificando operazioni pluriennali su un portfolio di domini dovrebbe pensare all’automazione adesso, non nel 2029.
Se sei pronto ad automatizzare, inizia dalla nostra pagina ACME. Una precisazione onesta: non tutti i prodotti wildcard multi-dominio sul mercato sono ugualmente adatti all’automazione. I prodotti DV con semplici verifiche del controllo del dominio si automatizzano senza problemi; i prodotti OV che richiedono cicli di ri-validazione dell’organizzazione aggiungono una complessita che ACME da solo non risolve.
Casi d’Uso Comuni
SSL Dragon offre certificati EV di quattro Certificate Authority.
- Portfolio aziendali multi-brand
Un’azienda che possiede diversi domini di brand piu sottodomini sotto ciascuno (brandA.com, *.brandA.com, brandB.net, *.brandB.net) puo sostituire quattro o piu acquisti di certificati separati con un unico certificato emesso. - Piattaforme SaaS con sottodomini per tenant
Quando ogni cliente riceve un sottodominio personalizzato come customer1.app.com e customer2.app.com, la copertura wildcard sul dominio dell’app gestisce un numero illimitato di tenant. I restanti slot SAN coprono il sito di marketing, la pagina di stato e le API su domini diversi. - Provider di hosting e agenzie
La gestione dei domini dei clienti su molti brand, tutti serviti da un’infrastruttura condivisa, si adatta perfettamente a questo prodotto. Un certificato, un ciclo di rinnovo, una chiave privata da ruotare. - Ambienti Microsoft Exchange e di comunicazione
I certificati wildcard multi-dominio funzionano come Unified Communications Certificates (UCC), che e cio che Exchange richiede quando ha bisogno che piu hostname di servizio – autodiscover, mail, webmail e altri – siano rappresentati sullo stesso certificato.
Certificati SSL Wildcard Multi-Dominio che Offriamo
Cinque prodotti di quattro certificate authority, suddivisi tra DV e OV. Le schede sopra mostrano la validazione e i tempi di emissione insieme al numero di SAN predefinito e al prezzo per ciascuno. Di seguito trovi cio che non e indicato nelle schede: i limiti di espansione SAN, cosa e incluso e perche sceglieresti uno rispetto all’altro.

Sectigo PositiveSSL Multi-Domain Wildcard
La confezione predefinita include 4 SAN ed e espandibile fino a 250 al momento dell’acquisto. La crittografia e a 256 bit su chiave RSA a 2048 bit, con ECC disponibile. Sigillo del sito gratuito, reissue illimitati e licenza server illimitata sono inclusi. Comodo CA ha cambiato nome in Sectigo nel 2018: stessi certificati root, stessa affidabilita, nome diverso sul badge.

GoGetSSL Multi-Domain Wildcard SSL
Al prezzo piu basso di questa pagina, GoGetSSL copre 3 SAN per impostazione predefinita con espansione fino a 250. Inclusi: sigillo del sito, reissue gratuiti e licenza server. La CA e stata tra le prime a offrire un vero prodotto in questa categoria, e questa soluzione rimane il punto di ingresso piu economico per chi non ha bisogno di un’identita organizzativa verificata.

GeoTrust True BusinessID Multi-Domain Wildcard
3 SAN predefiniti, espandibili fino a 250, con il nome dell’azienda verificata elencato nei dettagli del certificato. Il prodotto include una garanzia sostanziale supportata da DigiCert, che possiede GeoTrust. Il vero elemento distintivo e la funzionalita FLEX di GeoTrust: consente di combinare voci SAN wildcard e voci SAN standard sullo stesso certificato, utile quando non tutti i domini da proteggere necessitano di copertura dei sottodomini.

Thawte SSL Webserver Multi-Domain Wildcard
Si colloca allo stesso livello OV di GeoTrust, con 3 SAN predefiniti ed espansione fino a 250. Include un sigillo del sito dinamico localizzato in 18 lingue, licenza server illimitata e reissue gratuiti illimitati. La scelta tra Thawte e GeoTrust a questo livello dipende solitamente da quale sigillo di fiducia il tuo pubblico riconosce. Thawte gode di un maggiore riconoscimento del brand in alcuni mercati regolamentati, GeoTrust in altri.
Cosa Sapere Prima di Acquistare
- Tutti i domini elencati sono pubblici nel certificato. Chiunque faccia clic sul lucchetto e ispezioni i dettagli del certificato puo leggere ogni dominio nell’elenco SAN. Se non vuoi che due dei tuoi brand siano pubblicamente associati tra loro, utilizza certificati separati.
- Una voce SAN wildcard non copre automaticamente il dominio base. Una voce SAN *.example.com copre mail.example.com e shop.example.com, ma non copre example.com stesso. Aggiungi il dominio base come voce SAN separata se ne hai bisogno.
- I wildcard standard coprono un solo livello di sottodominio. *.example.com copre mail.example.com ma non dev.mail.example.com. Per proteggere livelli piu profondi, aggiungi il wildcard piu profondo come voce SAN separata, ad esempio *.mail.example.com.
- I reissue sono gratuiti, ma la data di scadenza rimane invariata. Aggiungere o rimuovere un SAN a meta ciclo non azzera il contatore; il nuovo certificato eredita la data di scadenza originale. Per i prodotti DV, non e richiesta una nuova validazione per modificare i SAN; per i prodotti OV, la validazione dell’organizzazione esistente puo generalmente essere riutilizzata se la modifica avviene entro la finestra di validita.
Domande frequenti
La maggior parte dei prodotti su questa pagina supporta fino a 250 SAN totali (1 dominio primario + 249 aggiuntivi). I pacchetti predefiniti includono 3 o 4 SAN; puoi aggiungerne altri singolarmente al momento del checkout. Alcuni certificati Sectigo OV multi-dominio con wildcard supportano limiti superiori; controlla la pagina del prodotto specifico per il limite esatto.
Copia link
Sì, gratuito e illimitato tramite riemissione. La data di scadenza rimane la stessa; la riemissione non estende la validità. Per DV, devi solo provare il controllo di eventuali nuovi domini aggiunti; per OV, la convalida dell’organizzazione può solitamente essere riutilizzata durante la validità del certificato, quindi le riemissioni si completano più rapidamente dopo la prima.
Copia link
Funzionalmente nessuna, nella maggior parte dei casi. UCC (Unified Communications Certificate) è la denominazione più vecchia utilizzata nei contesti di Microsoft Exchange e Communications Server. Un certificato wildcard multi-dominio funziona come un UCC e supporta la stessa flessibilità FQDN che Exchange richiede per i suoi hostname di autodiscover, mail e webmail.
Copia link
Trattato nella sezione di validazione sopra. Versione breve: i Baseline Requirements del CA/Browser Forum proibiscono le voci SAN wildcard sui certificati Extended Validation. Questo è uno standard del settore, non una limitazione di SSL Dragon. Gli acquirenti che hanno bisogno dell’identità EV su un hostname specifico in genere eseguono due certificati affiancati — un EV single-domain sull’hostname principale, e il wildcard multi-domain sul resto del portfolio.
Copia link
Sì. Ogni prodotto in questa pagina include licenze server illimitate. Nota che “illimitato” si riferisce al diritto di installazione, non alle migliori pratiche di sicurezza. Distribuire la stessa chiave privata su molti server aumenta il raggio di esplosione se uno qualsiasi dei server viene compromesso. Utilizza politiche di rotazione delle chiavi private appropriate alla scala della tua distribuzione.
Copia link
I certificati esistenti rimangono validi fino alla data di scadenza rilasciata. I nuovi certificati emessi dopo ogni scadenza di fase devono rispettare il nuovo limite: 200 giorni ora, 100 giorni da marzo 2027, 47 giorni da marzo 2029. Con 47 giorni, l’automazione diventa un requisito pratico; consulta la nostra pagina ACME per le istruzioni di configurazione.
Copia link
Utilizza il nostro strumento gratuito CSR Generator oppure generalo sul tuo server con OpenSSL. Il Common Name (CN) deve essere un dominio non-wildcard; elenca eventuali voci wildcard (*.domain.com) nel campo SAN, mai nel CN.
Copia link
Non sai di cosa hai bisogno?
Usa il nostro SSL Wizard per selezionare le tue opzioni e ti aiuteremo a trovare il certificato SSL giusto.
Non sai di cosa hai bisogno?

