Я знаю, что проверка имени хоста требуется для успешного установления связи SSL и жизненно важна по соображениям безопасности (например, для атак MiTM). Тем не менее, AWS автоматически назначает общедоступные DNS-имена для экземпляра EC2, и часто компании хотят сгенерировать сертификат для веб-службы, используя CN, более подходящую для их компании, то есть dev.contoso.com. И клиенты будут получать доступ к этой службе через dev.contoso.com.
Если это так, то, как я понимаю, в рукопожатии ssl EC2 будет представлять сертификат с именем dev.contoso.com, но фактическое имя сервера будет иметь форму ec2-XX-XXX-XX-XX. us-west-2.compute.amazonaws.com. И это приведет к сбою проверки имени хоста ... не так ли? Даже если сервер подписан центром сертификации, которому клиент уже доверяет.
Правильно ли здесь использовать SAN и просто указать желаемое имя хоста в качестве альтернативного имени в сертификате, или есть более целесообразное решение. Пожалуйста, исправьте мое понимание этого процесса, если я ошибаюсь.