Si voy a www.example.com que tiene una imagen en la página que enlaza con assets.example.com que es un CNAME para assets.example2.com.certificados SSL CNAME
¿Obtendré el bloqueo verde incluso si assets.example2.com no tiene un certificado, pero assets.example.com sí?
Si su entrada de DNS usa un CNAME o un registro de A no importa. Lo que importa es el nombre de host al que el cliente intenta conectarse. Debe coincidir con uno de los nombres alternativos del sujeto en el certificado del servidor que proporciona ese recurso (o, en su defecto, debe coincidir con el CN RDN del DN del asunto del certificado).
Si https://www.example.com incrusta una imagen para https://assets.example.com (proporcionando tanto son servidos a través de HTTPS con certificados válidos para cada uno) y si no hay contenido mixto (sin recurso cargado sobre http://, es decir sin JavaScript, ninguna imagen, ningún marco flotante,. ..) entonces debería obtener la barra verde/azul según corresponda.
Si assets.example.com es un CNAME a assets.example2.com y las solicitudes se hacen para https://assets.example.com, esta máquina debe presentar un certificado válido para assets.example.com al cliente.
Además, si varios certificados deben ser utilizados al mismo tiempo en esta dirección IP (y el mismo puerto), se puede requerir soporte para servidor de nombres de Indicación (SNI).
De forma alternativa, se puede usar un solo certificado que admita todos estos nombres, normalmente a través de varias entradas de Nombre alternativo del sujeto (SAN) o posiblemente a través de nombres comodín (que son not recommended).
Esto es independiente del mecanismo de resolución de DNS (registro CNAME o A).