Если пользователь заходит сам на
https://dom.ru/ - то предупреждение он увидит в любом случае.
Заплатите 50 баксов в StartSSL за два года (в остальных местах сертификат на 4 домена подороже выйдет) и сделайте себе сертификат на все домены, которые у вас есть.
Пользователь приходит в 443й порт, спрашивает сертификат, устанавливает зашифрованное соединение, потом передаёт заголовок Host и делает все проверки для сертификата, если вкратце. В случае со SNI всё немного по-другому, но суть та же - пользователь уже пришел на 443й порт за "неправильным" сайтом и что-то показать ему надо. В том числе и сертификат отдать хоть какой-то.
В науку вдаваться лень (как там и что в каком порядке подписывается), но суть вам должна быть понятна)