IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Cloud

Certificados wildcard y SAN: un certificado para muchos nombres

14/07/2026 3 min de lectura Rubén Espinoza

Un certificado básico protege un nombre: www.miempresa.com y nada más. Pero las empresas rara vez tienen un solo nombre. Tienes el sitio (www), quizá el correo (correo), una tienda (tienda), un portal de clientes (portal), un panel interno (app). ¿Un certificado por cada uno, cada uno con su renovación y su fecha de vencimiento distinta? Sería un infierno de administración. Para eso existen dos soluciones: los certificados wildcard y los SAN. Entender la diferencia te ahorra dinero y, sobre todo, dolores de cabeza.

Un certificado simple cubre un nombre; un wildcard cubre todos los subdominios de un nivel de un dominio; un SAN cubre varios nombres explícitos, incluso de dominios distintos.
Simple, wildcard o SAN: la elección depende de si tus nombres comparten dominio o no.

El wildcard: todos los subdominios de un dominio

Un certificado wildcard usa un asterisco como comodín para cubrir todos los subdominios de un nivel de un mismo dominio. Se escribe *.miempresa.com, y con eso protege www.miempresa.com, correo.miempresa.com, tienda.miempresa.com, app.miempresa.com y cualquier otro subdominio que crees en el futuro, sin pedir un certificado nuevo cada vez. Es la solución ideal cuando tienes muchos subdominios bajo un mismo dominio y esperas crear más.

Su límite importante: el comodín cubre un solo nivel. *.miempresa.com cubre tienda.miempresa.com, pero no cubre pagos.tienda.miempresa.com (que es un nivel más abajo), ni cubre el dominio pelado miempresa.com sin subdominio —para eso a veces se combina el wildcard con el dominio raíz—. Y tampoco cubre otro dominio distinto como miempresa.mx.

El SAN: varios nombres explícitos, incluso dominios distintos

Un certificado con SAN (Subject Alternative Name) —también llamado multidominio o UCC— toma otro enfoque: en lugar de un comodín, lista explícitamente varios nombres dentro del mismo certificado. Y aquí está su superpoder: esos nombres pueden ser dominios completamente distintos. Un solo certificado SAN puede cubrir miempresa.com, miempresa.mx y otramarca.com a la vez. Es la solución cuando tienes varios dominios (distintas marcas, distintas extensiones de país) que quieres proteger con un solo certificado y una sola renovación.

De hecho, técnicamente todos los certificados modernos usan el campo SAN para declarar los nombres que cubren —incluso uno "simple" lista su nombre ahí—. Cuando hablamos de "un certificado SAN" nos referimos a uno que aprovecha ese campo para incluir múltiples nombres explícitos.

Cómo elegir

  • Muchos subdominios de un mismo dominio, y crecerán: wildcard (*.miempresa.com). No tienes que tocar nada al crear un subdominio nuevo.
  • Varios dominios distintos, o un conjunto fijo y conocido de nombres: SAN. Los declaras y listo.
  • Un solo sitio, sin planes de más: un certificado simple basta, y hoy suele ser gratuito y automático.
  • Un caso complejo (muchos subdominios en varios dominios): se pueden combinar enfoques, o incluso hay wildcard multidominio. Aquí ya conviene diseñarlo con cuidado.

La consideración de seguridad del wildcard

Un detalle que a menudo se pasa por alto: un certificado wildcard usa una misma llave privada para todos los subdominios. Eso es cómodo, pero significa que si esa llave se compromete, todos tus subdominios quedan expuestos de golpe. Con certificados separados o SAN bien gestionados, un compromiso afecta a menos. Para la mayoría de las empresas el wildcard es un intercambio razonable de comodidad por riesgo, pero en entornos muy sensibles vale la pena pensarlo. Como siempre, la mejor opción depende de tu caso, no de una regla universal —y montarlo bien es parte de un hosting bien administrado.

#ssl #tls #certificados #wildcard

Preguntas frecuentes

¿Un wildcard *.miempresa.com cubre también miempresa.com sin subdominio?

No automáticamente. El comodín cubre los subdominios de un nivel (www, correo, tienda…), pero el dominio pelado miempresa.com es un caso aparte. Por eso muchos certificados wildcard se emiten incluyendo también el dominio raíz explícitamente. Si necesitas cubrir ambos, confirma que el certificado incluya el dominio base además del comodín.

¿Puedo meter dominios distintos en un solo certificado?

Sí, con un certificado SAN (multidominio). Permite listar varios nombres explícitos que pueden pertenecer a dominios completamente distintos: miempresa.com, miempresa.mx, otramarca.com, todos en un mismo certificado con una sola renovación. El wildcard, en cambio, se limita a los subdominios de un único dominio.

¿El wildcard es menos seguro que tener certificados separados?

Tiene un matiz: al usar una misma llave privada para todos los subdominios, si esa llave se compromete quedan expuestos todos a la vez. Con certificados separados, un compromiso afecta a menos. Para la mayoría de los casos el wildcard es un intercambio razonable de comodidad por riesgo, pero en entornos muy sensibles conviene evaluar alternativas.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Cloud

TLS para correo: STARTTLS, puertos y por qué cifrar tus mensajes
Let's Encrypt, ACME y AutoSSL: certificados gratis y automáticos, sin trampa
Autoridades de certificación y la cadena de confianza: en quién confía tu navegador