Wäre es evtl. sinnvoll auf ein wildcard Zertifikat umzustellen? Was ist eure Ansicht?

Grundsätzlich ist das eine gute Idee.

Für ein LE Wildcard müsstest du aber entweder das manuell immer selbst verlängern oder einen DNS Provider nutzen der ACME fähig ist. Bei mir mit CloudFlare kein Problem, aber Host wie 1und1, netcup oder ähnliche sind dort halt nicht hinterlegt. Damit müsstest du immer den txt-Record anpassen.

Für certbot lassen sich Plugins entwickeln, für netcup gibt es u.a. eins:
https://pypi.org/project/certbot-dns-netcup/
https://github.com/coldfix/certbot-dns-netcup

Sofern ein Plugin zur Verfügung steht, ist das sicherlich hilfreich. Ich schaue es mir einfach mal an. Evtl. kann man ja zwei verschiedene zur Verfügung stellen. Es bedarf dann natürlich einer Anleitung wie der kram konfiguriert wird.

Ich hatte es vor einiger Zeit versucht, aber es hat einfach nicht geklappt. Ich bin bei INWX und es wird von traefik unterstützt.

@dvogt23 bei Netcup benötigt man einen Resellervertrag (Bestätigung?), dass man Zugriff auf die DNS-API bekommt. Vllt ist das bei inwx ähnlich?

Ich hab mich die Tage mal mit beschäftigt. Sofern es ein Plugin für Traefik gibt, lässt sich das Umsetzen. Allerdings sind ja schon recht viele Anpassungen zu machen. Für ein Setup and forget wie das Repo hier sein soll, nicht möglich. Ich werde aber mal ein Video dazu machen.
Entsprechend schließe ich das Ticket.