CA/Browserフォーラム自体、GoogleとAppleの影響力が極めて強く、それらが切り捨てようと考えた規格と既に切り捨てられた規格は Deprecated となります。
実装レベルでは、日進月歩のWeb業界では大昔と言える Chrome 58 以降でもうすでに、Google Chrome では commonName は一切見ておらず、subjectAlternativeName のみをFQDNの照合に使ってます。
1つのドメイン名にしか対応していない証明書は不便だしワイルドカードは影響範囲が広すぎてサブドメ列挙より危険ですので、どうせ subjectAlternativeName を使うことになるのだから、複数個所参照するような面倒な仕様にはせずに SANs に統一した方が良いという考えなのでしょう。
> CN無し証明書(もちろんsubjectAltName有り)はどこの発行サービスで作れるのだろうか。
現状では大手CAではないですね。
まぁ別に organizationalUnitName は認証局が認証もしてもいない項目なので、それを認証したかのように証明書に含めるのはおかしいから削除が妥当ですけど、
CN は実際に認証しているドメイン名なんだから別に非推奨でも消さなくてもいいんじゃないですかね。ブラウザが見なくなって意味がないとみんなが思えば削除されるだけのこと。