O SO / navegador trata o certificado CNAME com base no destino?

Eu tenho um site example.com, e www.example.comé simplesmente um CNAME para example.com.

example.compossui um certificado emitido por Lets Encrypt for example.comonly.

No servidor web (Nginx), http://example.comredirecionei (HTTP 301) para https://example.com.

No Safari no macOS, um visitante www.example.comreceberá um aviso de segurança de que o certificado está errado, porque é emitido example.come não www.example.com.

No Windows Chrome, parece que não existe esse aviso.

Qual deve ser o comportamento correto?

Qual deve ser o comportamento correto?

O comportamento do Safari está correto, embora eu esteja um pouco confuso por que o Chrome não está apresentando um aviso, pois, na minha experiência, o Chrome está historicamente no limite de garantir que o conteúdo HTTPS seja legítimo em toda a cadeia.

Quanto ao seu certificado, se estiver definido para example.come não www.example.com, você receberá apenas HTTPS example.com. E se você estiver tentando usar um example.compara www.example.com`, o navegador o alertará sobre uma incompatibilidade.

Isso ocorre porque, no final do dia-a wwwno www.example.comé apenas uma convenção histórica e que wwwé apenas um subdomínio que poderia realmente apontar para qualquer lugar. Assim, o aviso. Como o site ClickSSL afirma claramente:

SSL é um protocolo baseado em criptografia. Protegerá esse domínio apenas para o qual foi emitido. Portanto, se o certificado SSL for emitido para um domínio não www, ele protegerá somente esse domínio.

Portanto, se você deseja HTTPS nos dois domínios, definitivamente precisa de um certificado example.come também www.example.com.