Домен yandex.ua корректно обрабатывается браузерами, так как он, наряду с wildcard-масками (например, *.yandex.ua), включен в Subject Alternative Name (SAN) общего сертификата, используемого на CDN-серверах Яндекса. Технически, для защиты корневого домена yandex.ua в сертификат добавляется явная запись, даже если присутствует маска *.yandex.ua. Подтвердить наличие домена в сертификате можно с помощью команды:
'''bash
openssl s_client -connect yandex.ua:443 -servername yandex.ua /dev/null | openssl x5x09 -text -noout | grep -A 5 "Subject Alternative Name".
'''
Браузер не ругается на сертификат, потому что домен yandex.ua есть в этом сертификате. Вы упустили его из виду, так как он скрыт внутри wildcard-записи (записи со звёздочкой).
В предоставленном вами логе OpenSSL чётко видна строка:
subject=CN = *.ya.ru
## Как это работает технически
1. Многодоменные Wildcard-сертификаты
Крупные IT-компании используют один сертификат для сотен своих доменов. Чтобы не перечислять все адреса вручную, в поле Subject Alternative Name (SAN) добавляются маски вида *.yandex.ru, *.yandex.ua, *.ya.ru и так далее.
2. Защита конкретно для yandex.ua
Для домена yandex.ua в SAN этого сертификата прописана маска *.yandex.ua.
Важная деталь: по правилам SSL маска со звёздочкой *.domain.com защищает только поддомены (например, www.yandex.ua), но не защищает сам корневой домен yandex.ua. Для защиты корня в сертификат обязательно добавляется отдельная строчка без звёздочки.
3. Что произошло в вашем случае
Яндекс использует единый CDN-сервер (в вашем логе это IP 5.255.255.77), который отдаёт один огромный общий сертификат для всех регионов. Вы можете перепроверить полный список SAN-имён этого сертификата через OpenSSL.
Браузер видит совпадение запрошенного имени yandex.ua с валидной строкой внутри сертификата, считает соединение безопасным и только после этого принимает от сервера инструкцию на редирект (HTTP 307) на ya.ru.
------------------------------
## Как проверить полный список доменов
Чтобы лично убедиться в наличии UA-доменов и не ставить расширения в браузер, выполните команду OpenSSL, которая выведет текстовое содержимое расширений сертификата:
openssl s_client -connect yandex.ua:443 -servername yandex.ua /dev/null | openssl x5x09 -text -noout | grep -A 5 "Subject Alternative Name"
В консоли вы увидите длинный список, где среди прочих будут присутствовать:
* DNS:yandex.ua
* DNS:*.yandex.ua
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
'''bash
openssl s_client -connect yandex.ua:443 -servername yandex.ua /dev/null | openssl x5x09 -text -noout | grep -A 5 "Subject Alternative Name".
'''