Wildcard SSL-certificaat: wat is het en wanneer heb je het nodig?
Laatst bijgewerkt: 31 December 2025
Een wildcard SSL-certificaat beveiligt je hoofddomein en al je subdomeinen met één certificaat. In plaats van aparte certificaten voor www.jouwsite.nl, shop.jouwsite.nl en blog.jouwsite.nl, dekt één wildcard alles. Dit bespaart tijd, geld en beheerwerk.
De vraag is: heb je daadwerkelijk een wildcard nodig? Voor veel websites is een standaard certificaat voldoende. Maar zodra je meerdere subdomeinen beheert, wordt een wildcard interessant. In dit artikel leggen we uit hoe wildcard SSL werkt, wanneer het zinvol is en hoe je het instelt.
Een wildcard certificaat is herkenbaar aan het asterisk-teken in de domeinnaam: *.jouwsite.nl. Dit betekent dat elk subdomein onder jouwsite.nl gedekt is, zolang het één niveau diep is. api.jouwsite.nl? Gedekt. test.api.jouwsite.nl? Niet gedekt, want dat zijn twee niveaus.
Hoe werkt een wildcard certificaat?
Het asterisk-principe is eenvoudig: de * staat voor elk willekeurig subdomein op hetzelfde niveau. Een certificaat voor *.jouwsite.nl dekt:
- www.jouwsite.nl
- shop.jouwsite.nl
- mail.jouwsite.nl
- staging.jouwsite.nl
- elk-ander-subdomein.jouwsite.nl
Wat niet gedekt wordt:
- jouwsite.nl (het root-domein, hoewel veel CA's dit meenemen)
- sub.sub.jouwsite.nl (twee niveaus diep)
- ander-domein.nl (logischerwijs)
Technisch werkt validatie anders dan bij reguliere certificaten. Omdat de CA niet elk toekomstig subdomein kan controleren, wordt alleen het root-domein geverifieerd. Bij Let's Encrypt is DNS-01 challenge verplicht voor wildcards.
Eén certificaat voor alles betekent ook dat het overal dezelfde private key gebruikt. Compromitteert iemand de key op je staging-server, dan is elk subdomein kwetsbaar. Dit vereist extra aandacht voor beveiliging.
Wanneer heb je een wildcard nodig?
Meerdere subdomeinen actief is de primaire reden. Als je een hoofdsite, webshop, blog en mail-subdomein hebt, is een wildcard efficiënter dan vier aparte certificaten.
Dynamische subdomeinen bij SaaS-platforms of multi-tenant applicaties maken wildcards noodzakelijk. Denk aan klant1.jouwplatform.nl, klant2.jouwplatform.nl, enzovoort. Je kunt niet voor elke nieuwe klant een certificaat aanvragen.
Staging en test-omgevingen op subdomeinen zoals staging.site.nl of test.site.nl profiteren van hetzelfde wildcard certificaat als productie.
Wanneer niet nodig:
- Je hebt alleen www en root (standaard certificaat volstaat)
- Je subdomeinen staan op verschillende servers zonder gedeelde toegang tot de private key
- Je hebt slechts 2-3 vaste subdomeinen (aparte certificaten kunnen goedkoper zijn)
Wildcard SSL met Let's Encrypt
Let's Encrypt biedt gratis wildcards sinds 2018. Dit was een gamechanger voor veel projecten die voorheen dure commerciële wildcards nodig hadden.
DNS-01 challenge vereist dat je een TXT-record toevoegt aan je DNS. Dit bewijst domeincontrole. De HTTP-01 challenge werkt niet voor wildcards omdat de CA niet elk mogelijk subdomein kan controleren.
Certbot commando voor wildcard:
sudo certbot certonly --manual --preferred-challenges dns -d '*.jouwsite.nl' -d 'jouwsite.nl'
Dit vraagt je om een DNS TXT-record toe te voegen met een specifieke waarde. Na verificatie wordt het certificaat uitgegeven.
Automatisering via DNS-plugin is sterk aanbevolen. Certbot heeft plugins voor Cloudflare, Route53, DigitalOcean en andere DNS-providers die automatisch records aanmaken en verwijderen.
Voorbeeld met Cloudflare:
sudo certbot certonly --dns-cloudflare --dns-cloudflare-credentials /pad/naar/credentials.ini -d '*.jouwsite.nl' -d 'jouwsite.nl'
Vernieuwing automatiseren werkt via dezelfde DNS-plugin. De standaard certbot renew-cron pikt dit automatisch op als je credentials correct zijn geconfigureerd.
Commerciële wildcard certificaten
Prijzen variëren sterk van €50 tot €500 per jaar. De goedkopere opties (Comodo/Sectigo, RapidSSL) bieden DV-validatie. Duurdere opties (DigiCert, GlobalSign) bieden OV met bedrijfsvalidatie.
Voordelen boven Let's Encrypt:
- Langere geldigheid (tot 1 jaar)
- OV-optie voor bedrijfsverificatie
- Garantie bij beveiligingsincidenten
- Professionele support
Wanneer commercieel kiezen:
- Je wilt OV-validatie voor meer vertrouwen
- Automatische DNS-integratie is niet mogelijk
- Je hebt behoefte aan support en garanties
- Bedrijfsbeleid vereist commerciële certificaten
| Aanbieder | Prijs/jaar | Type | Garantie |
|---|---|---|---|
| Sectigo PositiveSSL | €50-80 | DV | €10.000 |
| GeoTrust QuickSSL | €100-150 | DV | €100.000 |
| DigiCert Wildcard | €400-600 | OV | €1.000.000 |
Installatie en configuratie
Na het verkrijgen van het certificaat installeer je het op elke server die subdomeinen host. Bij meerdere servers moet de private key veilig worden getransporteerd.
Apache configuratie:
<VirtualHost *:443>
ServerName www.jouwsite.nl
ServerAlias *.jouwsite.nl
SSLEngine on
SSLCertificateFile /etc/ssl/wildcard.crt
SSLCertificateKeyFile /etc/ssl/wildcard.key
SSLCertificateChainFile /etc/ssl/ca-bundle.crt
</VirtualHost>
Nginx configuratie:
server {
listen 443 ssl;
server_name *.jouwsite.nl;
ssl_certificate /etc/ssl/wildcard.crt;
ssl_certificate_key /etc/ssl/wildcard.key;
}
Bij meerdere servers kun je hetzelfde certificaat op elke server installeren. Zorg voor veilige overdracht van de private key (nooit via e-mail of onbeveiligde kanalen).
Beveiligingsoverwegingen
Eén key voor alles betekent groter risico bij compromittering. Overweeg:
- Strikte toegangscontrole tot private key-bestanden
- Aparte keys voor productie vs staging waar mogelijk
- Regelmatige key-rotatie
Certificate Transparency logs tonen alle uitgegeven certificaten publiek. Wildcards onthullen niet welke specifieke subdomeinen je gebruikt, wat enige privacy biedt.
Revocatie impact is groter bij wildcards. Als je het certificaat moet intrekken, zijn alle subdomeinen tijdelijk zonder SSL totdat je een nieuw certificaat installeert.
Alternatieven voor wildcards
SAN-certificaten (Subject Alternative Name) dekken meerdere specifieke domeinen en subdomeinen in één certificaat. Handig als je een vaste lijst hebt.
Aparte certificaten per subdomein via Let's Encrypt zijn gratis en beperken het risico bij compromittering.
CDN-gebaseerde SSL via Cloudflare of vergelijkbare diensten beheert certificaten voor je, inclusief subdomeinen.
Veelgestelde vragen
Dekt een wildcard ook het root-domein? Niet standaard, maar de meeste CA's nemen dit gratis mee. Vraag expliciet om zowel *.site.nl als site.nl.
Kan ik meerdere wildcard-niveaus hebben? Ja, maar je hebt aparte certificaten nodig. *.jouwsite.nl en *.api.jouwsite.nl vereisen twee wildcards.
Werkt een wildcard met load balancers? Ja, installeer hetzelfde certificaat op alle backend-servers of op de load balancer zelf.
Hoe vaak moet ik vernieuwen? Let's Encrypt elke 60-90 dagen (automatisch), commercieel jaarlijks (handmatig of met herinnering).
Meer informatie: WordPress.org documentatie
Lees ook
Was dit artikel nuttig?
Vergelijk direct hosting pakketten om de beste keuze voor jouw situatie te maken.
Gerelateerde artikelen
Wat is webhosting? Uitleg voor beginners
Ontdek wat webhosting is en hoe het werkt. Complete uitleg over servers, domeinen en verschillende hosting types voor beginners.
Wat is VPS hosting?
VPS hosting uitgelegd: wat is een virtual private server, voor wie is het geschikt en wat zijn de voordelen ten opzichte van shared hosting?
Wat is een SSL-certificaat?
Alles over SSL-certificaten: wat is SSL, waarom heb je het nodig en hoe herken je een beveiligde website? Essentieel voor elke website.
Wat is uptime bij webhosting?
Wat betekent uptime bij webhosting? Leer over uptime percentages, SLA garanties en waarom 99.9% uptime belangrijk is voor je website.
Hoeveel opslag heb ik nodig voor mijn website?
Ontdek hoeveel schijfruimte je echt nodig hebt voor je website. Praktische gids met voorbeelden per websitetype.