Skip to main content

Öffentliche Zertifikate – Dateneinträge, die gegen Branchenstandards verstoßen

Grundlegende Anforderungen und RFC 5280-Verletzungen

Für öffentlich vertrauenswürdige Zertifikate erfordern Branchenstandards (Grundlegende Anforderungen und RFC 5280), dass die Dateneinträge bestimmte Kriterien erfüllen müssen. Ein Verstoß gegen diese Standards bei der Bestellung eines Zertifikats hindert eine Zertifizierungsstelle daran, das Zertifikat auszustellen.

Verletzung des Organisationseinheitswerts

Wichtig

DigiCert wird das Feld Organisationseinheit(OU) nicht mehr verwenden, um die Bestellung von öffentlichen SSL/TLS-Zertifikaten zu vereinfachen. Weitere Informationen über die Einstellung des OU-Feldes finden Sie in unserem KB-Artikel DigiCert wird das Feld Organisationseinheit abschaffen.

Für öffentlich vertrauenswürdige Zertifikate ist der Organisationseinheitswert (Feld) nicht erforderlich.

Gemäß den grundlegenden Anforderungen müssen Zertifizierungsstellen den Organisationseinheitswert nur validieren, wenn ein Wert bereitgestellt wird. Falls Sie dieses Feld leer lassen, sind die Zertifizierungsstellen angewiesen, das Feld nicht auf in das Zertifikat aufzunehmen.

Die grundlegenden Anforderungen verbieten außerdem, dass dieser Wert als Junk erscheint sowie die Verwendung von Indikatoren wie „nicht zutreffend“ (n/a, ? usw.), um die Zertifikate so klein wie möglich zu halten. Kleinere Zertifikate gewährleisten, dass TLS für eine größere Anzahl Benutzer und Website-Operatoren zugänglich bleibt.

Die folgende Liste enthält Zeichen, die als solche in das Feld Organisationseinheit eingetragen keinen gültigen Organisationseinheitswert darstellen.

  • „-“ (Bindestrich)

  • „ “ (Leerzeichen)

  • "." (Punkt)

  • "?" (Fragezeichen)

  • „na“ (Nicht zutreffend)

  • „NA“ (Nicht zutreffend)

Warnung

Falls Sie lediglich einen Bindestrich in das Feld Organisationseinheit setzen, kann eine CA den Wert nicht validieren.

Falls Sie jedoch einen Organisationsnamen mit einem Bindestrich eintragen (zum Beispiel Dev-Ops), kann die CA Ihren Organisationseinheitswert validieren.

Überschreitung der 64-Zeichen-Grenze

Für öffentlich vertrauenswürdige Zertifikate können wir bei den folgenden Werten (Dateneinträgen) eine Überschreitung der 64-Zeichen-Grenze, einschließlich Leerzeichen, nicht zulassen:

  • Allgemeiner Name

    Dieser Wert darf die 64-Zeichen-Grenze nicht überschreiten. Für Subject Alternative Names (SANs) gilt diese Beschränkung nicht. Die SANs in einem Zertifikatsauftrag (zum Beispiel in einem Multi Domain SSL-Zertifikatsauftrag) dürfen länger als 64 Zeichen sein.

  • Organisation

    Hat die Organisation einen angenommenen Namen? Planen Sie; Ihre Organisation für Extended Validation (EV)-Zertifikate zu validieren? Stellen Sie sicher, dass der Name der Organisation + der angenommene Name, einschließlich Leerzeichen, nicht mehr als 64 Zeichen umfassen.

  • Straße 1

  • Straße 2

  • Stadt

  • Bundesland

  • Postleitzahl

Verwendung von Unterstrichen

Für öffentlich vertrauenswürdige Zertifikate ist sind Unterstriche (_) nicht mehr erlaubt in:

  • Allgemeine Namen

  • Subject Alternative Names (SANs)

Wir stellen nur Zertifikate für Domänen und Unterdomänen aus, die die folgenden Zeichen verwenden:

  • Kleinbuchstaben a–z

  • Großbuchstaben A–Z

  • Ziffern 0–9

  • Sonderzeichen: Punkt (.) und Bindestrich (-)

Wichtig

Derzeit dürfen Sie noch Unterstriche in anderen Zertifikatswerten verwenden, wie z. B. Organisationseinheiten und Organisationsnamen. Allerdings wird die Verwendung des Unterstrichs in diesen Werten neu bewertet. Die Branchenstandards können sich ändern, sodass Sie die Unterstriche aus diesen Werten entfernen müssen.

Verstoß bei der Verwendung von Doppel-Bindestrichen

Das Forum Zertifizierungsstelle/Browser (CA/B) hat eine Anforderung in Abstimmung 202 klargestellt, die besagt, dass CAs keine öffentlichen TLS/SSL-Zertifikate mit ungültigen internationalisierten Domainnamen ausstellen dürfen.

Ab dem 1. Oktober 2021 erlauben wir bei öffentlich vertrauenswürdigen TLS/SSL-Zertifikaten keine doppelten Bindestriche (--) mehr im dritten und vierten Zeichen von Domainnamen, es sei denn, die doppelten Bindestriche gehen den Buchstaben xn voraus (xn--example.com).

Tabelle 1. Beispiele

Domäne

Zulässig?

es--xyz.loudsquid.com

Nein

www.es--xyz.loudsquid.com

Nein

xn--xyz.loudsquid.com

OK

xyz--loudsquid.com

OK