La maggior parte dei software, in particolare i browser Web utilizzano i campi Nome comune e Oggetto nome alternativo per garantire che il certificato sia valido per un sito.
Se l'identificato (sia esso indirizzo IP o nome host, qualunque sia usato per accedere al sito) si allinea con un CN o SAN e il certificato passa in altro modo la convalida (autorità di certificazione accettata, date di inizio e fine, ecc.) allora quel certificato è considerato valido.
Molto probabilmente questo è richiesto dalla RFC, ma non mi è particolarmente familiare, quindi parlo solo dall'osservazione - non con alcuna autorità.
Si noti che si tratta di una semplificazione eccessiva, che HSTS e pinning dei certificati svolgono spesso un ruolo anche in questi giorni, il che può rendere non valido un certificato altrimenti valido.