Проблема проверки сертификата с субдоменами субдоменов

У меня есть текущий производственный сертификат с общим именем подстановочного знака, размещенный в диспетчере сертификатов Amazon (ACM). Я добавилCNAMEс субдоменом субдомена (например....) в нашу зону Route53, которая указывает на наш балансировщик нагрузки (ALB). Однако Chrome жалуется на

[SSL_ERROR_BAD_CERT_DOMAIN] «Сертификат действителен только для *...» (домен намеренно очищен).

В чем может быть проблема? Я ошибаюсь, полагая, что сертификаты с подстановочными знаками должны обрабатывать любой поддомен на любой глубине?