Если я перейду на www.example.com, у которого есть изображение на странице, которая ссылается на asset.example.com, который является CNAME для assets.example2.com.
Получу ли я зеленую блокировку, даже если у assets.example2.com нет сертификата, но asset.example.com делает?
Независимо от того, имеет ли ваша запись DNS запись CNAME или A, это не имеет значения. Важным является имя хоста, к которому клиент пытается подключиться. Он должен соответствовать одному из альтернативных имен объекта в сертификате сервера, предоставляющем этот ресурс (или, в противном случае, он должен соответствовать CN RDN имени объекта сертификации).
Если https://www.example.com добавляет изображение к https://assets.example.com (при условии, что оба они обслуживаются через HTTPS с действительными сертификатами для каждого), и если нет смешанного содержимого (без ресурса, загруженного поверх http://, это не JavaScript, нет изображения, no iframe,...), тогда вы должны получить зеленую/синюю полосу, если это необходимо.
Если assets.example.com является CNAME на assets.example2.com и запросы сделаны на https://assets.example.com, этот компьютер должен предоставить клиенту сертификат, действительный для assets.example.com.
Кроме того, если одновременно необходимо использовать несколько сертификатов на этом IP-адресе (и том же порту), может потребоваться поддержка указателя имени сервера (SNI).
В качестве альтернативы, наличие единого сертификата, который поддерживает все эти имена, как правило, через несколько объектов альтернативного имени (SAN), или, возможно, с помощью подстановочных имен (которые не рекомендуется).
Это не зависит от механизма разрешения DNS (запись CNAME или A).