Fragen? Antworten! Siehe auch: Alternativlos
Update: Lutz Donnerhacke, der über X.509 schon mehr vergessen hat, als ich weiß, erklärt:
Sie haben Recht mit der Vorgehensweise.
Der relevante RFC 2818 sagt, dass wenn SubjectAltName existiert, man ihn nehmen MUSS.
Sie haben unrecht mit der Behauptung, der RFC erkläre den CN für obsolet.
An der betreffenden Stelle wird die Praxis der CAs, einen CN statt SubjectAltName zu verwenden für obsolte erklärt.Der eigentliche Grund für die Vorgehensweise ist die Vorschrift in X.509 dass SubjectAltName für v3-Zertifikate Pflicht ist.
Update: Weil jemand nachfragte: Nein, Lutz und ich duzen uns. Das Sie bezieht sich auf das Chrome-Team.