Crossdupe de link .
Nome comum do assunto não está mais controlando certificados HTTPS.
AFAICT não existe um padrão dizendo isso, mas a prática há alguns anos é que os navegadores etc. usam a extensão SubjectAlternativeName (SAN) se ela estiver presente e CommonName (CN) no Assunto somente se a SAN estiver ausente. Seu certificado tem SAN presente com dcrdev.com
, portanto, apenas isso corresponde.
update: encontrada em RFC2818 3.1 :
If a subjectAltName extension of type dNSName is present, that MUST be used as the identity. Otherwise, the (most specific) Common Name field in the Subject field of the certificate MUST be used. Although the use of the Common Name is existing practice, it is deprecated and Certification Authorities are encouraged to use the dNSName instead.
Esse RFC foi em maio de 2000, mas para minha lembrança os certificados que encontrei não começaram a usar SAN até mais perto de 2010. O mais recente março de 2011 RFC6125 identificado por @JennyD (funciona no corpo da resposta?) é um tratamento mais geral, mas diz explicitamente
This document also does not supersede the rules for verifying service identity provided in specifications for existing application protocols published prior to this document, such as those excerpted under Appendix B.
e o apêndice B inclui o RFC2818.
Os requisitos de linha de base do fórum do CA-Browser dizem que as CAs devem emitir certificados com a SAN enquanto o Subject.CN é obsoleto, embora isso não seja um requisito direto em navegadores / clientes.
Se você quiser usar o domínio e os subdomínios (apenas um nível), insira duas entradas dnsName na SAN, uma para dcrdev.com
e outra para *.dcrdev.com
.