Já o RFC 2818 , que padroniza o HTTPS (HTTP sobre TLS) a partir de 2000, diz claramente:
If a subjectAltName extension of type dNSName is present, that MUST be used as the identity.
Como você tem nomes DNS como Nomes Alternativos de Assunto, o CN será ignorado. Observe que o uso de CN em vez de Nomes Alternativos de Assunto está obsoleto por anos e alguns navegadores (especificamente o Chrome) só examinarão Nomes Alternativos de Assunto e falharão se não existir SAN mesmo se o CN puder corresponder ao domínio.