ERR_CERT_COMMON_NAME_INVALID

ERR_CERT_COMMON_NAME_INVALID

该错误表示浏览器验证 SSL/TLS 证书时，发现证书的 Subject CN（Common Name）或 Subject Alternative Name (SAN) 扩展中未包含当前访问的域名。自 Chrome 58、Firefox 48 起，CN 字段已**被完全弃用**，证书必须在 SAN 中精确列出所有有效域名（含 www 与非 www 变体），否则触发此错误。

常见成因包括：证书仅签发给 example.com，但用户访问 www.example.com；使用通配符证书 *.example.com 访问 example.com（通配符不匹配根域）；证书由旧 CA 签发且未包含 SAN；或服务器配置错误（如 Nginx/Apache 未绑定正确证书文件，或 SNI 配置缺失导致返回默认站点证书）。

该错误与证书是否由受信任 CA 签发无关，即使证书本身有效、未过期、链完整，只要域名不匹配 SAN 列表，即报此错。RFC 6125 明确要求客户端必须基于 SAN 进行主机名验证，CN 仅作兼容性保留字段，不得用于校验。

需要注意的情况

• 单域名 DV SSL证书 必须为每个需保护的域名单独申请，或选择支持多域名的证书类型（如 SAN 多域名证书）
• 若使用 Let's Encrypt 等自动化工具，需确保 certbot 命令中明确指定所有域名（如 -d example.com -d www.example.com），否则默认仅写入首个域名到 SAN
• 部分老旧系统（如 Windows Server 2008 R2 + IE11）可能仍依赖 CN，但现代浏览器和移动端（Android/iOS WebView）一律以 SAN 为准，不可依赖 CN 兼容
• 内网或测试环境使用自签名证书时，该错误常伴随 NET::ERR_CERT_AUTHORITY_INVALID 同时出现，需一并解决信任链与域名匹配问题