A única outra 'pegadinha' que eu conheço é que , portanto, não é uma opção se você estiver usando um certificado EV.
Em termos de segurança, você acertou em cheio - uma única chave privada protege todos os domínios que estão sob o curinga. Assim, por exemplo, se você tivesse um certificado de SAN de vários domínios que cobrisse www.example.com
e something.example.com
se comprometesse, somente esses dois domínios estarão em risco de ataque com a chave comprometida.
No entanto, se esse mesmo sistema estivesse executando um *.example.com
cert para lidar com o tráfego SSL para www
e something
subdomínios e estivesse comprometido, tudo o que é coberto por esse curinga está potencialmente em risco, mesmo serviços não hospedados diretamente nesse servidor - digamos, webmail.example.com
.