Active Directory LDAPS и проверка Java 181 LDAPS

Java 8u181 (Java 8 Update 181) повышает безопасность соединений LDAPS:

Изменение: улучшена поддержка LDAP. Для подключений LDAPS включена идентификация конечной точки. Для повышения надежности соединений LDAPS (безопасный LDAP через TLS) по умолчанию включены алгоритмы идентификации конечных точек. Обратите внимание, что могут быть ситуации, когда некоторые приложения, которые ранее могли успешно подключаться к серверу LDAPS, больше не смогут этого сделать. Такие приложения могут, если сочтут целесообразным, отключить идентификацию конечной точки с помощью нового системного свойства: com.sun.jndi.ldap.object.disableEndpointIdentification. Определите это системное свойство (или установите для него значение true), чтобы отключить алгоритмы идентификации конечной точки. JDK-8200666 (не общедоступно)

Одно из этих улучшений, похоже, проверяет, указано ли доменное имя в сертификате. Однако поведение Active Directory по умолчанию, похоже, заключается в том, чтобы иметь только имя для сервера AD, которое возвращается под множеством A-записей доменного имени AD - и кажется, что клиенты редко будут поддерживать список хостов.

Я также вижу этот шаблон вне Java (т.е. программы Go будут это сейчас проверять, см. Примечания к выпуску Go 1.10 на Certificate.Verify).

Есть несколько пугающая техническая статья о внесении имен в сертификат, который будет обновлен: https://blogs.technet.microsoft.com/russellt/2016/06/03/custom-ldap-certs/

Я уверен, что я не единственный, кто здесь сталкивается с этим:

1. Кому-нибудь удалось добавить имя в сертификат или, возможно, использовать балансировщик нагрузки перед LDAPS для общих клиентов LDAP, не относящихся к AD?
2. Кто-нибудь знает, занимается ли Microsoft этим вопросом каким-либо образом, что в будущем могут произойти изменения, которые делают «отключить проверку и ждать» разумной тактикой?