Браузер учитывает только первый домен в сертификате

Question

Я создаю самозаверяющий сертификат, который я добавил в свою цепочку для ключей, и я вижу, что он используется Firefox и Chrome.Но когда я захожу на https://world.localhost, дротик говорит, что сертификат недействителен, потому что он выдан на localhost.Все домены, указанные ниже, интегрированы в сертификат.Когда я изменяю их порядок, я вижу, что браузер учитывает только самую верхнюю запись (DNS.1) по сравнению с запрашиваемым доменом, но все домены находятся в сертификате, когда я его просматриваю (через браузер).

Что не так в этом случае?

[ req ]
default_bits        = 2048
default_keyfile     = dev.cert.key
distinguished_name  = subject
#req_extensions      = req_ext
req_extensions      = v3_req
x509_extensions     = x509_ext
string_mask         = utf8only

[ x509_ext ]

subjectKeyIdentifier    = hash
authorityKeyIdentifier  = keyid,issuer

basicConstraints  = CA:FALSE
keyUsage          = digitalSignature, keyEncipherment
subjectAltName    = @alternate_names
[ v3_req ]

subjectKeyIdentifier = hash

basicConstraints    = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
subjectAltName      = @alternate_names

[ alternate_names ]

DNS.1       = localhost
DNS.2       = *.localhost
DNS.3       = *.test.localhost
DNS.4       = *.www.localhost
DNS.5       = *.api.localhost

Answer 1

Причина, по которой это не работает должным образом, заключается в том, что браузер классифицирует наиболее правую часть как домен верхнего уровня.

Неправильные сертификаты типа *.com, как и *.localhost.

Когда я вставляю еще одну метку , все это работает.

*.domain.localhost соответствует www.domain.localhost и действительно .

*.localhost соответствует www.localhost, но недействительно .