Клиенты без поддержки SNI загрузят первый сертификат Apache на том порте.
Так, да, Wildcard-сертификат не будет полагаться на клиент-серверную поддержку Признака Имени. Если Ваши ресурсы, у всех есть общий родительский домен, это - вероятно, способ пойти. Другая опция (без общего родительского домена) состоит в том, чтобы использовать сертификат, который обеспечивает Подчиненные Альтернативные названия.
Оба являются дорогими; сертификат Альтернативных названий является немного более дешевым (но ограничивает количество сайтов, которые Вы можете покрыть и должны быть переизданы, когда те сайты изменяются).
Не помещайте свои настройки в раздел VirtualHost. Таким образом, они будут применимы ко всем Vhosts.
Пусть каждый виртуальный хост включает один и тот же файл, содержащий настройки блокировки.