对于动态生成子域的网站（例如，如果用户可以为某些服务创建自己的子域），为每个新子域安装证书远非理想，因为您需要验证每个子域的域所有权，然后为每个子域安装证书（通常还需要重新启动 Web 服务器）。

除了激活新的子域之外，管理许多证书（每个证书都有自己的到期日期）很快成为一个主要的麻烦。总而言之，这会增加复杂性，但不会增加额外的安全性。

因此，总而言之，通配符证书的优势在于较低的管理负担。

另外要考虑的一点是，Let's Encrypt（和其他颁发者）颁发的所有证书都可以在证书透明度日志中查看，因此如果您在不使用通配符的情况下颁发证书，任何人都可以轻松枚举您的所有子域。

这并不总是一个问题，但在某些情况下，它可以让攻击者的生活更轻松。例如，它可以帮助他发现一些隐藏的服务，如存储库、构建服务器等。

crt.sh是提供这些日志的站点的一个示例。