Protoze, ak dokaze utocnik vlozit zaznam pre web.example.com, tak nemusi kradnut ziadny wildcard certifikat ale moze si vygenerovat vlastny cert (aj 2x do dna) pre tu domeny cez LE. Toto sa da osetrit, iba nejakym monitoringom...
Vyhodou wildcard LE, ze nie je vidno ake subdomeny pouzivate - co je sice security by obscurdity, ale ako jedna z vrstiev security to je IMHO fajn. Ked utocnik nevie ze mam nextcloud na nextcloud.example.com, tak si to musi zistit inak aby nan mohol utocit, a (zistit) to je bez zneuzitia nejakej dalsej chyby velmi tazke.