Какой CN указывать для кириллических доменов для SSL?

Question

[logabot]

Добрый день,
Собственно проблема в том, что есть 2 сертификата. В старом в поле CN указан домен в юникоде, а в альтернативных указано dns в punycode. В новом в обоих местах указано в punycode. Браузеру то пофиг, т.к. он всегда преобразует все в punycode, но вот моему Curl не нравиться новый домен:

Server certificate:
*  subject: C=RU; L=Moscow; O=Компания ОАО; OU=job; CN=*.xn--d1acufc.xn--p1ai
*  start date: Oct 15 00:00:00 2018 GMT
*  expire date: Nov 14 12:00:00 2019 GMT
*  subjectAltName does not match домен.рф
* SSL: no alternative certificate subject name matches target host name 'домен.рф'
* stopped the pause stream!
* Closing connection 0
* TLSv1.2 (OUT), TLS alert, Client hello (1):
curl: (51) SSL: no alternative certificate subject name matches target host name 'домен.рф'

Стоит ли перевыпускать сертификат, добавляя в CN=%u0434%u043E%u043C%u0435%u043D.%u0440%u0444%0A или оставить xn--d1acufc.xn--p1ai и не переживать?
Интересует как правильно, то что оно и так будет работать я уже знаю.