以下引用來自 google chrome 66 發行說明：

棄用

為本地錨策略啟用 CommonName 回退

提供 EnableCommonNameFallbackForLocalAnchors 策略是為了讓管理員有更多時間更新他們的本地證書。它消除了允許使用缺少 subjectAlternativeName 擴展的本地信任錨頒發的證書的站點上的證書的能力。

從 Chrome M66 開始，我們將棄用此政策。如果執行 Chrome 66 的使用者嘗試訪問不允許證書的站點，他們將看到一條警告，表明他們無法信任該證書。

我使用的一些證書不包含Subject Alternative Name現在似乎是強制性的副檔名。

鑑於我應該檢查的證書數量，我不喜歡手動執行此操作。

有沒有辦法查詢伺服器並確定他們的證書是否有Subject Alternative Name副檔名？

您可以編寫一個腳本來循環訪問您的主機名並用於openssl檢查證書。

中的一個例子bash：

for host in host1.example.com host2.example.com host3.example.com ; do
   echo ===== $host =====
   openssl s_client -connect $host:443 < /dev/null 2> /dev/null \
     | openssl x509 -noout -text \
     | grep "Subject Alternative Name" -A2
done

引用自：https://unix.stackexchange.com/questions/457010