Een wildcard certificaat heeft zijn voor maar ook grote nadelen. Immers je certificaat kan zeer gemakkelijk misbruikt worden. Immers het certificaat is voor je volledige domain te gebruiken. Je moet dus heel veel vertrouwen hebben in je hoster wil je dit gaan gebruiken. En als het toch al automatisch gaan, waarom zou je dan dit risico willen nemen?

Kijk de race to the bottom gaat weer verder - doe mij maar een certificaatje voor *.nl

Behalve als het verkeerd geconfigureerd staat als root op de server en je je cloud niet kan vertrouwen.

Tegenwoordig moet je alles maar op de blauwe ogen geloven, de developert klopt in en technische veiligheid is nauuwelijks gegarandeerd.

Https-only en anywhere ook zo'n initiatief om alles achter de non-public cloudgordijnen te krijgen.
Wat doet men daar? Veilig, ja je bent van de verantwoording af en kan met vingertjes naar elders gaan wijzen.

Dat willen we allemaal liever dan zelf verantwoordelijkheid nemen voor een veilige interface. Microsoft ziet het wel zitten, ontslaat alvast duizenden medewerkers buiten de V.S. vanwege de verwachte cloud service drukte (krijg het zuur met je Azure ;)).

Vind je het leuk als je sub-domeinen de jouwe niet meer zijn omdat je een gratis account hebt bij afraid dot org?

Weet je hoe daar naamservers staan geconfigureerd? Bind versie info proliferatie misschien. Evil: API-sleutels toegankelijk? Cloudbleed en andere narigheid waar we nog niet van weten?

Alle Google en EFF gedreven initiatieven zijn wel om het makkelijker te maken, maar veiliger?
Ik kijk graag zelf op een server wat daar allemaal staat, weet ik met Intellitamper bijvoorbeeld,
waar ik me tegen te wapenen heb.

Ik heb genoeg gezien om niet gelijk de loftrompet te gaan blazen over een wat veilger connectie-campagne.

Vertrouw niets wat je niet zelf heb getest als veilig of laat dat doen door iemand met de nodige know-how.
"Once bitten twice shy", is een goede grondhouding eer donkere "wolken" zich samenpakken.

Ik ben er niet zo'n voorstander van deze ontwikkeling. Het spaart hun veel uit als zij voor grote afnemers van certificaten hier onder kunnen brengen. Ik hoop dat zij het restrictief gaan verstrekken en allen bij uitzondering aan kleinere domeinen verstrekken.

Heb ik wat gemist? Volgens mij kun je al vanaf het begin tot 100 alternatieve domeinen opnemen in het certificaat. Dus die reden zou pas geldig zijn als er beheerders zijn met boven de 100 subdomeinen, want dan moet je voor elke 100 een eigen certificaat aanvragen.

Wildcards? Hoe zit dat dan met dynamic dns sites als NO-IP. Lijkt mij niet zo handig....

Laat .nl nou geen domein zijn dus kan je er ook geen wildcard voor maken DUH!

Zal wel meevallen omdat er altijd een controle gedaan wordt. Als je bv *.no-ip.com probeert te registreren, dan probeert hij met een server op no-ip.com te verifiëren. En dat zal falen als no-ip.com dit zelf niet aanvraagt. Dus, als je geen controle over het domein hebt, kun je ook geen wildcard voor dat domein aanvragen.

Als je zelf echter een domein "mijndomein.no-ip.com" bezit, kun je wel een certificaat aanvragen. Wildcards van subdomeinen zal Let's Encrypt niet ondersteunen, volgens hun aankondiging.

Je moet zowieso vertrouwen hebben in je hoster. Deze kan zich immers ook zeer eenvoudig als jou voordoen en een nieuw certificaat autoriseren.

Via CAA-record kan je altijd aangeven dat Let's Encrypt geen wilcard-certificaten mag uitgeven voor je domein, dus je hebt zelf wel controle.

Zijn de issues uit de jaren 90 weer terug?
Geen enkele browser zal een dergelijke certificaat als geldig aanzien...

Misschien wil de organisatie achter "subdomein 1" niet dat het via het certificaat te achterhalen is dat die 99 andere websites ook op dezelfde server staan?
Op die manier heeft een aanvaller 100 kansen om een fout in een webapplicatie te vinden...

Er zijn soms ook legale redenen om het een en ander van elkaar gescheiden te houden.

Ja inderdaad nog meer data naar de VS