Sim e não. Você está correto (exceto alguns detalhes adicionais) para certificados do servidor. No entanto, os certificados em / etc / ssl / certs são certificados de CA raiz e intermediários e não certificados de servidor. Ou seja, eles não são usados para identificação de servidor diretamente. Como tal, eles não têm essa preocupação correspondente.
Certificados de servidor, aqueles que os servidores realmente apresentam ao cliente, têm a preocupação correspondente e são o que você vê no primeiro certificado obtido ao se conectar. Se você olhar para os outros certificados na cadeia openssl constrói (e cospe para você), você verá referências ao estilo de certificados / etc / ssl / certs.
O próprio CN pode não corresponder se um dos campos alternativos definidos como correspondências legais for correspondido. Entre os métodos para adicionar nomes válidos adicionais para correspondência de certificado está o uso de uma extensão subjectAltName com o tipo dNSName, que especifica qual é o nome válido com o qual se deseja corresponder (pelo menos para fins de HTTPS). Existem outros para outros propósitos também.