Uso de chave
Para o TLS, você precisa da codificação de chaves e da assinatura digital, bem como do uso estendido da TLS Web Server / Client Authentication. Non Repudation não é usado. O acordo-chave poderia teoricamente ser usado para o ECDH em oposição ao ECDHE. Consulte o link
Transparência do certificado.
O Google está empurrando isso com sua influência considerável. Uma coisa importante a considerar ao enviar certificados para logs de transparência é que eles são, na verdade, uma publicação de nomes de domínio (ou curinga). Tenho notado consultas para um servidor da web logo após obter um certificado letsencrypt e, em teoria, isso pode ser antes mesmo de seu certificado SSL ser instalado, porque o log de transparência tem uma pré-publicação.
Veja: Blog do Scott Helme
Atualização do Chrome de abril:
De: link
Desde janeiro de 2015, o Chrome exige que os certificados de Validação Estendida (EV) sejam compatíveis com CT para receber o status de EV. Em abril de 2018, esse requisito será estendido a todos os certificados recém-emitidos publicamente confiáveis - DV, OV e EV - e os certificados que não cumprirem essa política não serão reconhecidos como confiáveis quando avaliados pelo Chrome. Os certificados emitidos por CAs localmente confiáveis ou corporativas adicionadas por usuários ou administradores não estão sujeitos a esse requisito.
SAN com nomes locais
Não há problemas que eu conheça. Embora .local seja um TLD especialmente desagradável, porque é usado com DNS multicast.
Outros requisitos
Para qualquer sistema maduro, há a necessidade de servidores CRL e OCSP. Alguns subprocessos podem ser ainda mais exigentes do que o próprio navegador. Tomemos por exemplo o plugin Java no IE11. Se um aplicativo de webstart ou applet tiver um servidor CRL ou OCSP inacessível na hierarquia, o quadro do navegador poderá permanecer completamente em branco por alguns minutos. Além disso, se um servidor web Apache usa grampeamento OCSP, o servidor OCSP deve responder melhor quando o próprio servidor web chama, caso contrário, infelizmente, com o Apache, todos os clientes exibirão erros até que o servidor tenha as respostas grampeadas novamente.
ID da chave de autoridade. Use esse recurso para possibilitar a recuperação da retirada de certificados intermediários por erro ou por comprometimento.
Registros da CAA. As CAs públicas são obrigadas a verificar isso ao emitir certificados. Consulte o link
Outras referências: