У меня есть сертификат с темой «server01.department.company.com» и двумя альтернативными именами «app1» и «app2». Когда я подключаюсь к серверу с помощью app1 или app2, все в порядке. Но когда я подключаюсь к настоящему имени сервера (темы), браузеры сообщают мне, что сертификат недействителен. Я просмотрел некоторые сертификаты от digicert, и они также упоминают тему в списке SAN. Мне кажется, что эта тема больше не проверяется браузерами, как только появятся некоторые SAN. Я читал сейчас RFC 5280, но не нашел ничего, что могло бы это подтвердить.
Может ли кто-нибудь дать мне дополнительную информацию, правильно ли мое предположение и почему?
RFC 6125 § 4.4 это то, что вы ищете. Он указывает, что общее имя (CN) не требуется проверять, когда присутствуют альтернативные имена субъектов, хотя клиенты разрешается сделать так. На практике многие клиенты теперь полностью игнорируют CN.
Свяжитесь с тем, кто выдал ваш сертификат, и попросите исправить ошибку.