в плане телеграмм - подойдет и самоподписный (они это поддерживают), ну а так let's encrypt. Если деньги не жалко, то покупаете. Wildcard не особо нужен, так как у вас все летит post запрос на вебхук на какой-нибудь урл вида сайт.сайт/вебхук. SAN тоже не особо надо. Так что если покупной, то дешманский какой. (все сказанное выше - если на этом домене не будет еще сайт жить)