Which should be the correct behavior?
O comportamento do Safari está correto, embora eu esteja intrigado com o motivo pelo qual o Chrome não está apresentando um aviso, pois, na minha experiência, o Chrome está historicamente no limite de garantir que o conteúdo HTTPS seja legítimo em toda a cadeia.
Quanto ao seu certificado, se estiver definido para example.com e não www.example.com , você só receberá HTTPS de example.com . E se você estiver tentando usar um example.com para www.example.com ', o navegador avisará você sobre uma incompatibilidade.
Isso ocorre porque, no final do dia, o www em www.example.com é apenas uma convenção histórica e que www é apenas um subdomínio que pode realmente apontar para qualquer lugar. Assim o aviso. Como o site ClickSSL indica claramente :
SSL is encryption-based protocol. It will secure that domain only for which it has been issued. Hence, if the SSL certificate is issued for a non www domain, then it will secure that domain only.
Então, se você quiser HTTPS em ambos os domínios, você definitivamente precisa de um certificado para example.com , bem como www.example.com .