Veel bedrijven vragen zich af: is een Wildcard-certificaat de juiste keuze voor het beveiligen van mijn domeinen, of kies ik beter voor losse of multi-domain certificaten?
Het lijkt aantrekkelijk om met één certificaat alles af te dekken. Maar de praktijk leert dat er serieuze risico’s kleven aan Wildcard-certificaten. Bij New Yard adviseren wij daarom geen Wildcard-certificaten. In dit artikel lees je waarom, en welke alternatieven beter passen bij moderne IT-omgevingen.
Wat is een Wildcard-certificaat?
Een Wildcard-certificaat beveiligt je hoofddomein én alle subdomeinen op hetzelfde niveau.
Voorbeeld: *.newyard.nl dekt automatisch mail.newyard.nl, portal.newyard.nl en shop.newyard.nl.
Dit lijkt efficiënt, maar de eenvoud kent een keerzijde.
Nadelen van Wildcard-certificaten
- Alles kwetsbaar bij misbruik
Wordt een Wildcard-certificaat gestolen of misbruikt, dan zijn meteen alle subdomeinen in gevaar. - Geen aparte controle
Je kunt subdomeinen niet apart beheren of intrekken. Dat is problematisch wanneer verschillende teams of leveranciers verantwoordelijk zijn voor onderdelen van je omgeving. - Impact van kortere levensduur
Certificaten zijn tegenwoordig nog maar één jaar geldig, en bij sommige aanbieders (zoals Let’s Encrypt) zelfs maar 90 dagen.
Bij een Wildcard betekent dit dat je álle subdomeinen tegelijk moet vernieuwen. Een fout of vertraging raakt dus direct je hele organisatie.
Alternatieven: losse certificaten en multi-domain certificaten
Losse certificaten
Bij losse certificaten krijgt ieder subdomein een eigen certificaat.
- Voordeel: risico’s zijn beperkt; bij misbruik raakt slechts één domein onveilig.
- Nadeel: meer werk en kosten bij een groot aantal subdomeinen.
Multi-domain certificaten (SAN-certificaten)
Een sterk alternatief voor Wildcards is een multi-domain certificaat (ook wel SAN-certificaat). Hiermee kun je meerdere, specifieke domeinen en subdomeinen in één certificaat opnemen.
- Voordeel: je bepaalt zelf welke subdomeinen gedekt zijn, zonder dat alles automatisch onder één certificaat valt.
- Flexibel voor applicaties: ideaal wanneer meerdere aanverwante producten in één omgeving draaien.
Denk bijvoorbeeld aan een Citrix-omgeving, waar je in één certificaat subdomeinen kunt combineren zoals:- storefront.newyard.nl
- wem.newyard.nl
- studio-web.newyard.nl
Zo heb je minder certificaten nodig dan bij losse certificaten, maar behoud je wél meer controle en veiligheid dan bij een Wildcard.
Waarom New Yard geen Wildcard-certificaten adviseert
Bij New Yard zien wij dagelijks de impact van verlopen of misbruikte certificaten. Onze ervaring leert dat de risico’s van Wildcards te groot zijn, zeker nu de levensduur steeds korter wordt. Eén fout kan een hele organisatie platleggen.
Wij adviseren daarom altijd te kiezen voor een combinatie van losse certificaten voor kritieke applicaties en multi-domain certificaten voor aanverwante systemen, zoals een Citrix-omgeving. Zo combineer je veiligheid met beheergemak.
Conclusie
Wildcard-certificaten lijken handig en kostenbesparend, maar brengen te veel risico’s met zich mee.
- Heb je enkele, kritieke domeinen? Kies losse certificaten.
- Heb je meerdere aanverwante subdomeinen, bijvoorbeeld in een Citrix-omgeving, kies dan voor een multi-domain certificaat.
De juiste keuze hangt af van jouw omgeving, aantal domeinen en de mate van automatisering.