Un certificado básico protege un nombre: www.miempresa.com y nada más. Pero las empresas rara vez tienen un solo nombre. Tienes el sitio (www), quizá el correo (correo), una tienda (tienda), un portal de clientes (portal), un panel interno (app). ¿Un certificado por cada uno, cada uno con su renovación y su fecha de vencimiento distinta? Sería un infierno de administración. Para eso existen dos soluciones: los certificados wildcard y los SAN. Entender la diferencia te ahorra dinero y, sobre todo, dolores de cabeza.
El wildcard: todos los subdominios de un dominio
Un certificado wildcard usa un asterisco como comodín para cubrir todos los subdominios de un nivel de un mismo dominio. Se escribe *.miempresa.com, y con eso protege www.miempresa.com, correo.miempresa.com, tienda.miempresa.com, app.miempresa.com y cualquier otro subdominio que crees en el futuro, sin pedir un certificado nuevo cada vez. Es la solución ideal cuando tienes muchos subdominios bajo un mismo dominio y esperas crear más.
Su límite importante: el comodín cubre un solo nivel. *.miempresa.com cubre tienda.miempresa.com, pero no cubre pagos.tienda.miempresa.com (que es un nivel más abajo), ni cubre el dominio pelado miempresa.com sin subdominio —para eso a veces se combina el wildcard con el dominio raíz—. Y tampoco cubre otro dominio distinto como miempresa.mx.
El SAN: varios nombres explícitos, incluso dominios distintos
Un certificado con SAN (Subject Alternative Name) —también llamado multidominio o UCC— toma otro enfoque: en lugar de un comodín, lista explícitamente varios nombres dentro del mismo certificado. Y aquí está su superpoder: esos nombres pueden ser dominios completamente distintos. Un solo certificado SAN puede cubrir miempresa.com, miempresa.mx y otramarca.com a la vez. Es la solución cuando tienes varios dominios (distintas marcas, distintas extensiones de país) que quieres proteger con un solo certificado y una sola renovación.
De hecho, técnicamente todos los certificados modernos usan el campo SAN para declarar los nombres que cubren —incluso uno "simple" lista su nombre ahí—. Cuando hablamos de "un certificado SAN" nos referimos a uno que aprovecha ese campo para incluir múltiples nombres explícitos.
Cómo elegir
- Muchos subdominios de un mismo dominio, y crecerán: wildcard (*.miempresa.com). No tienes que tocar nada al crear un subdominio nuevo.
- Varios dominios distintos, o un conjunto fijo y conocido de nombres: SAN. Los declaras y listo.
- Un solo sitio, sin planes de más: un certificado simple basta, y hoy suele ser gratuito y automático.
- Un caso complejo (muchos subdominios en varios dominios): se pueden combinar enfoques, o incluso hay wildcard multidominio. Aquí ya conviene diseñarlo con cuidado.
La consideración de seguridad del wildcard
Un detalle que a menudo se pasa por alto: un certificado wildcard usa una misma llave privada para todos los subdominios. Eso es cómodo, pero significa que si esa llave se compromete, todos tus subdominios quedan expuestos de golpe. Con certificados separados o SAN bien gestionados, un compromiso afecta a menos. Para la mayoría de las empresas el wildcard es un intercambio razonable de comodidad por riesgo, pero en entornos muy sensibles vale la pena pensarlo. Como siempre, la mejor opción depende de tu caso, no de una regla universal —y montarlo bien es parte de un hosting bien administrado.