今の実装ではSSLでサーバの証明書を取得した後で、サーバのFQDNと証明書のCommonNameが同じでない場合にはエラーになるようになっています。
ふと考えたのですが、例えばsshを使ってトンネルを作った場合、接続先のホスト名はlocalhostになりますが、サーバ証明書のCommonNameは当然サーバのFQDNになります。sshに限らず、POP3やIMAP4をProxyを越えて使う場合には同じような状況になります。SSLに対応したProxyなら上手くやってくれるんじゃないかと思いますが(詳しくないので良くわからないですが)、単なるTCPリレーだとダメですね。こういう状況の場合には、これらが一致しなくてもエラーにならない方が調子が良い気がします。このような状況でSSLを使うということは余りなさそうですが、全くないわけではないでしょう。しかし、安易に通るようにしてしまうのも問題ですね。