¿Qué es un certificado SSL Wildcard?

El cifrado de un sitio web se realiza mediante el Protocolo de Transferencia de Hipertexto seguro (HTTPS) en combinación con un certificado SSL, que contiene toda la información necesaria para establecer una conexión segura. Este está vinculado de forma fija a una dirección de dominio concreta (URL) y sólo puede utilizarse para ella. Al usar un subdominio, por ejemplo ftp.example.com, este necesita bien un comodín general o un certificado SSL de servidor propio e individual.

Un certificado SSL comodín protege un número arbitrario de subdominios

En una infraestructura ramificada con un gran número de subdominios — correctamente denominados dominios de tercer nivel — resulta lento y laborioso usar un certificado SSL de servidor distinto para cada uno. Por ello existen desde 2008 los certificados comodín para sitios web, que permiten cifrar varias subdominios mediante HTTPS. Comodín en el sector TI significa un marcador de posición; uno de los más conocidos es el asterisco o asterisk (*), que incluye una cantidad arbitraria de caracteres diferentes o iguales. También es posible especificar más letras para acotar el rango. El asterisco es con diferencia el comodín más utilizado y también se emplea en los certificados SSL. Algunos ejemplos válidos son:

• *.example.com
• f*.example.com
• *.ftp.example.com
• w*w.example.com

La restricción del ámbito de validez puede ser útil en determinados casos por distintos motivos — por ejemplo, para usar un certificado SSL distinto en una página concreta, asignar diferentes titulares a los subdominios o poder excluir explícitamente ciertas direcciones. Un asterisco representa uno o varios caracteres; la combinación f*.example.com incluye por tanto dominios como ftp.example.com así como free.example.com.

Limitaciones de un certificado SSL comodín

Es muy importante utilizar correctamente un certificado SSL comodín y conocer sus limitaciones para lograr un cifrado mediante HTTPS y no excluir inadvertidamente determinadas partes. Por ello, deben respetarse estrictamente las siguientes reglas:

• Un certificado SSL comodín protege solo un nivel concreto; no protege ni el nivel superior ni los inferiores.
• Está prohibida la combinación de varios comodines, por ejemplo *.*.example.com.
• El certificado SSL emplea el mismo cifrado HTTPS para todos los subdominios afectados.
• Está permitida la combinación de varios comodines dentro de un único certificado SSL.
• No es posible individualizar información como el titular de instancias concretas.

Concretamente, en los ejemplos anteriores esto significa que el comodín *.example.com permite HTTPS en diferentes subniveles como www.example.com, ftp.example.com y mail.example.com, pero no en el sitio example.com ni en niveles inferiores como ftp.www.example.com. Estos deben indicarse de forma adicional o requieren un certificado SSL de servidor propio. Como cualquier certificado SSL, un certificado comodín debe ser verificado por la autoridad de certificación emisora respecto a su titular antes de ser emitido. Qué métodos ofrece la autoridad para autenticar el sitio —a través de la empresa, del titular, del sistema de nombres de dominio (DNS) o del servidor— depende de ella, y debería tenerse en cuenta en una comparativa de certificados SSL. Proveedores gratuitos como por ejemplo Lets Encrypt suelen ofrecer, debido al elevado esfuerzo que implicaría, solo algunos métodos automatizados.

Ventajas de un certificado comodín y posibles alternativas

En un sitio con múltiples subdominios y certificados de pago, un certificado comodín ayuda a reducir significativamente los gastos. Además, facilita la administración de HTTPS y mejora el rendimiento de un servidor, ya que parte de la costosa criptografía se evita al usar una clave unificada. Para cifrar un sitio web existen pocas alternativas a HTTPS, y además suelen ser técnicamente complejas. Por el contrario, evitar el uso de un comodín es sencillo: solicitar y usar un certificado SSL independiente para cada subdominio. Esto no supone mayores costes con proveedores como Lets Encrypt, pero complica la gestión y resulta poco práctico para un sitio con muchas ramas —por ejemplo, un proveedor con subdirecciones personalizadas para clientes—.

Foto: typographyimages - pixabay.com