A negociação SSL, incluindo o navegador analisando o campo Nome Comum do certificado para comparar com o host com o qual tentou se conectar, ocorre muito antes de o servidor ter a chance de ver uma solicitação. Por causa disso, o servidor não pode entregar um certificado com base no host: head na solicitação. Um certificado curinga resolve isso apenas porque o mesmo certificado é usado para cada site hospedado.
Por exemplo, se você tiver um certificado * .example.com e usá-lo para hospedar (com base no cabeçalho do host):
blog.example.com
www.example.com
Em cada caso, o certificado é válido para o site hospedado e o navegador ficará satisfeito.