Twijfel tussen één wildcard-cert (*.vectel.nl) of een SAN-cert met expliciete subdomeinen
Wildcard dekt elke subdomein-naam, maar één cert deelt het privé-key-risico over alles. SAN-cert (Subject Alternative Names) noemt expliciet welke namen erop staan. Voor MKB met veel ad-hoc subdomeinen wint wildcard, voor security-strikte stacks wint SAN.
Probeer dit eerst zelf
- 1Voor klein aantal subdomeinen (3 tot 10): SAN-cert is overzichtelijker en geeft minder blast radius bij key-leak.
- 2Voor veel of dynamische subdomeinen (preview-deploys, klant-specifieke subdomains): wildcard is praktischer, anders schiet je dagelijks ACME-rate-limits.
- 3Wildcard dekt slechts één niveau (*.vectel.nl, niet *.dev.vectel.nl). Voor twee niveaus heb je twee wildcards of een SAN.
- 4Bij wildcard: de privé-key opslaan in een secrets-manager met strakke ACL en niet over alle dev-machines verspreiden.
- 5Voor publieke websites: zowel wildcard als SAN kan via Let's Encrypt of ZeroSSL gratis. Voor EV-certs wordt SAN praktisch.
Wanneer ons inschakelen
Wil je een cert-strategie die aansluit bij je deploy-flow en risicoprofiel, dan kunnen we kiezen tussen wildcard, SAN of een mix.
Zie ook
- Domein vervalt morgen en niemand had de mail gezienEen vervallen domein gaat niet direct naar een ander. Er zit een redemption-window omheen, maar je betaalt extra.
- Twijfel of auto-renew aan moet of nietAuto-renew uitzetten is alleen zinvol bij domeinen die je echt loost. Voor alles wat live is, gewoon aan.
- Nieuwe registrar vraagt om auth-code, weet niet waar die staatEPP-code of transfer-code is het wachtwoord om een domein van registrar A naar B te verhuizen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.