De tre dækningstyper
- Single-domæne — dækker ét navn (typisk plus
www). Mindst dækning, mindst risiko. - Wildcard —
*.example.comdækker alle underdomæner på ét niveau med én privat nøgle. - SAN / multi-domæne — flere udtrykkeligt navngivne domæner i ét certifikat (Subject Alternative Names).
Bekvemmelighed vs blast-radius
Wildcard er bekvemt — ét certifikat til alt under et domæne — men samler hele jeres underdomæneflade under én privat nøgle. Lækker den, er alt eksponeret på én gang. Det er den centrale afvejning, vi uddyber i wildcard-certifikat risici.
Hvornår vælger man hvad?
- Single-domæne: få, isolerede tjenester; maksimal isolation af nøgler.
- SAN: en kendt, afgrænset liste af domæner (fx
example.com,example.dk,app.example.com). - Wildcard: mange ensartede, centralt styrede underdomæner — helst med automatiseret rotation.
Validering er en separat akse
Dækning og valideringsniveau (DV/OV/EV) er uafhængige. De fleste single-, wildcard- og SAN-certifikater er DV. Se det fulde overblik i typer af certifikater.
Sådan hjælper CertControl
CertControl sporer hvilke domæner hvert certifikat dækker — så et wildcards reelle omfang er synligt, og I bliver advaret før udløb med den fulde liste af berørte tjenester.
Ofte stillede spørgsmål
Hvad er forskellen på et wildcard- og et SAN-certifikat?
Et wildcard dækker alle underdomæner på ét niveau (*.example.com). Et SAN-certifikat dækker en specifik liste af navngivne domæner.
Er wildcard-certifikater mindre sikre?
Ikke i sig selv, men de samler mange tjenester under én privat nøgle, så blast-radius ved et nøglekompromis er større. Brug dem bevidst.
Kan ét certifikat dække flere helt forskellige domæner?
Ja — det er netop hvad et SAN/multi-domæne-certifikat gør, fx example.com og example.dk i ét certifikat.