Wildcard-DNS ist eines dieser Konzepte, das auf den ersten Blick wie Magie wirkt: Ein einziger Eintrag fängt unendlich viele Hostnamen ab. Tatsächlich ist das Konzept simpel, und in vielen Setups erspart es eine Menge Pflege-Aufwand.
Was ein Wildcard-Record macht
Ein Eintrag wie *.beispiel.de A 192.0.2.10 sagt: Jede Subdomain unter beispiel.de, für die kein expliziter Eintrag existiert, soll auf diese IP zeigen. shop.beispiel.de, tools.beispiel.de, irgendwas.beispiel.de – alles geht auf denselben Server.
Wann das praktisch ist
- Multi-Tenant-Apps: SaaS-Plattformen mit Kunden-Subdomains (
kunde1.app.de,kunde2.app.de). - Themen-Hubs wie Domain-Root: Neue Subdomains anlegen, ohne jedes Mal in den DNS gehen zu müssen.
- Staging/Preview:
pr-123.dev.beispiel.defür Pull-Request-Vorschau-URLs.
Was Wildcards nicht können
Wildcards greifen nur, wenn kein expliziter Eintrag existiert. Sobald du shop.beispiel.de explizit auf eine andere IP setzt, gilt der Wildcard für diesen Hostnamen nicht mehr. Außerdem: Wildcards arbeiten nur eine Ebene tief. *.beispiel.de deckt foo.beispiel.de ab, aber nicht bar.foo.beispiel.de – dafür bräuchte es *.foo.beispiel.de.
Wildcard und SSL
Ein Wildcard-DNS-Eintrag braucht ein Wildcard-SSL-Zertifikat. Let's Encrypt liefert die kostenlos, allerdings nur über die DNS-01-Challenge (TXT-Record-Validierung). Praktisch wird das mit DNS-Providern, die eine API anbieten (Cloudflare, ClouDNS, deSEC).
Risiken und Vorsicht
Ein Wildcard-Record ist auch ein Sicherheits-Thema: Tippt jemand akimkikrigt.beispiel.de, landet er trotzdem auf deinem Server. Sub-Routing über $_SERVER['HTTP_HOST'] sollte daher auf bekannte Hostnamen prüfen und unbekannte abweisen oder auf eine Default-Seite umleiten.