<div dir="ltr">Hi ServerCert folks,<div><br></div><div>The BRs Section 7.1.4.2.2 says that the Subject Common Name field in Subscriber Certificates is Deprecated, i.e. discouraged but not yet prohibited. This statement has been in place since at least the Baseline Requirements version 1, adopted over eleven years ago.</div><div><br></div><div>However, a quick survey of the WebPKI via <a href="http://censys.io">censys.io</a> leads to the following observations:</div><div>- 0.2% of publicly-trusted certificates omit the CN field</div><div>- 0% of certs issued by Let's Encrypt omit the CN field </div><div>- 5% of certs issued by GTS and ZeroSSL (the two CAs issuing the most non-CN certs) omit the CN field, and all of these appear to be exactly the subset of certificates which have no SANs short enough (64 chars or less) to be hoisted into the CN field</div><div><br></div><div>It seems untenable to me that a recommendation made over a decade ago still has less than 1% adoption.</div><div><br></div><div>So my question is: how do we go about moving the ecosystem towards a place where the CN field could transition from Deprecated to Prohibited? What steps can we as a forum take to help push this transition forward?</div><div><br></div><div>Aaron</div></div>