No que diz respeito à verificação de nomes, um cliente simplesmente verifica se o nome endereçado ao servidor corresponde à lista de nomes incorporados no certificado que o servidor apresenta.
O cliente não tem como saber se outro servidor, algum lugar na Internet, tem o mesmo nome na SAN.
Observe que é improvável que haja qualquer confusão causada por isso, pois o DNS garante que apenas um dos servidores esteja acessível.
Ou seja, se www.example.com
no DNS apontar para seu serviço não fornecido pelo Cloudflare, o cliente se conectará a esse serviço e receberá o certificado *.example.com
. Isso passará no teste de correspondência de nomes e, portanto, deve ser bem-sucedido.
Se você alterar suas configurações de DNS para apontar www.example.com
para o servidor Cloudflare, o cliente receberá o certificado fornecido pela Cloudflare (com www.example.com
somente) e, como os nomes correspondem, ainda assim será feliz.
Enquanto isso, os nomes que não forem www.example.com
( app
, servide
, mail
etc.) apontarão para o servidor não-Cloudflare no DNS e usarão com alegria o certificado *.example.com
.