"ez amúgy miért természetes?"
Azért mnert! Mondhatnám, hogy RTFM, de inkább elmagyarázom.
A *.axa.hu mindenre jó, még a pöttyöslófsz.axa.hu-ra is, csak éppen az axa.hu-ra nem. A *. feltételezi, hogy van az axa előtt egy pont, és még az előtt is van valami.
Aki balf@sz volt, az vagy az axa, aki így kérte, vagy a netlock, aki kiadta, és nem kérdezett rá - vagy rákérdezett, de nem magyarázta el, vagy nem értették meg, hogy ez mitől lesz így szar.
Más szolgáltatóknál (pl. startssl) természetes, hogy minden kiadott tanúsítványvan alternate name-ként szerepel a "meztelen" domain )jelen példában az axa.hu), és akkor nem reklamálna. Sőt, ha wildcard tanúsítványt kér az ember, akkor is ott van. Sőt, ha olyan tanúsítványt kér a zember, hogy *.valami.tld és *.akarmi.tld, akkor a *.valami.tld a CN-be kerül, a *.akarmi.tld, a valami.tld és az akarmi.tld pedig alternate name-bejegyzésben lesz felsprolva, így nem reklamálnak rá a böngészők.
Ergo: a böngésző csak teszi a dolgát, amit RFC szerint elvárnak tőle, aki meg üzemelteti az oldalt, egy f@sz.
--
PtY - www.onlinedemo.hu