**CSR ломают чаще, чем TLS**
Проблема обычно не в выпуске сертификата, а в том, что в `CSR` уже заложили мину: забыли `SAN`, неправильно собрали wildcard, руками ошиблись в `openssl.cnf`.
Схема простая:
`CN` → почти мёртвый параметр
`SAN` → реальный список хостов
`wildcard` → покрывает только один уровень, не `a.b.example.com`
Если в `CSR` нет всех нужных имён, CA выдаст сертификат ровно под этот набор. Потом начинается классика: `www` живёт, `api` падает, `staging` забыли, а прод ловит `NET::ERR_CERT_COMMON_NAME_INVALID`.
Почему это становится критично: срок жизни сертификатов режут до **47 дней к 2029**. Ручной выпуск с правками в `openssl.cnf` и чеканием SAN после факта — уже не процесс, а лотерея.
Что нужно вместо ручного режима:
- генерация `CSR` из шаблона
- автоподстановка `SAN`
- валидация wildcard до отправки
- выпуск через ACME/автоматизацию, а не через «потом поправим»
Вывод: если `CSR` не проверяется машиной, ошибка уедет в прод вместе с сертификатом.
TechSEO Lab
@TechSEOLabPro
**CSR ломают чаще, чем TLS**
Этот пост опубликован в Telegram-канале TechSEO Lab. Подписаться можно по ссылке: @TechSEOLabPro.