сертификаты на поддомены поддоменов

Я так понимаю, да. Потому-что тут уже нужен wildcard для *.subdomain.example.com

а rfc есть на эту тему? или браузеры это с балды взяли?

1034

да ну, там про это ни слова. более того, примеры объясняются на днс-зонах, а там уж точно *.example.com предполагает поддомены любого уровня

Найди «To illustrate the use of wildcard RRs»
Если бы было достаточно одного * То не было бы: *.X.COM *.A.X.COM
А вообще если бы так можно было бы, то каждый бы владелец субдомена, себе бы wildcard сертификаты не делал. Вот нашел в 2818

Matching is performed using the matching rules specified by [RFC2459]. If more than one identity of a given type is present in the certificate (e.g., more than one dNSName name, a match in any one of the set is considered acceptable.) Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com. f*.com matches foo.com but not bar.com.

хз, может это касается только мх-записей, для а-записей достаточно было бы *.x.com, но это может быть и не по стандарту как бы, хз. за 2818 спасибо