Skip to main content

Certificados públicos – Entradas de datos que violan los estándares de la industria

Requisitos de base de referencia y violaciones a RFC 5280

Para los certificados con confianza pública, los estándares de la industria (requisitos de referencia y RFC 5280) exigen que las entradas de datos respeten ciertos criterios. Violar estos estándares al pedir un certificado evita que una Autoridad de certificados emita el certificado.

Violación del valor de unidad de organización

Importante

DigiCert está dejando de usar el campo Unidad organizacional (OU) para simplificar el pedido de certificados SSL/TLS públicos. Para obtener más información sobre la obsolescencia del campo de OU, consulte DigiCert dejará de usar el campo Unidad organizacional.

Para los certificados con confianza pública, el valor de la unidad de organización no es un valor obligatorio (campo).

De acuerdo con los requisitos de referencia, las autoridades de certificación (CA) solo están obligadas a validar el valor de la unidad de organización cuando se proporciona un valor. Si deja este campo en blanco, las CA tienen órdenes de no incluir el campo en el certificado.

Los requisitos de referencia también prohíben que este valor sea o parezca ser datos "no deseados" o indicadores de no aplicabilidad (nc, ?, etc.), lo que ayuda a mantener los certificados más chicos. Al hacerlo, esto garantiza que TLS siga siendo accesible para un mayor rango de usuarios y operadores de sitios.

La siguiente lista contiene caracteres que, si se introducen por sí solos en el campo de la unidad de organización, no representan un valor de unidad de organización válido:

  • "-" (guion)

  • " "(espacio)

  • "." (punto)

  • "?" (signo de interrogación)

  • "nc" (no corresponde)

  • "NC" (no corresponde)

Aviso

Si coloca un guion solo en el campo de la unidad de organización, una CA no podrá validar el valor.

No obstante, si ingresa el nombre de una organización que incluya un guion (por ejemplo, Dev-Ops), eso no evita que una CA valide el valor de su unidad de organización.

Violación del límite máximo de 64 caracteres

Para los certificados con confianza pública, no podemos permitir que estos valores (entradas de datos) superen el límite máximo de 64 caracteres, incluidos los espacios.

  • Nombre común

    No podemos permitir que el valor de nombre común supere el límite de 64 caracteres. Sin embargo, el valor de nombre alternativos del sujeto (SAN) no tiene las mismas restricciones de caracteres como el valor de nombre común. Los SAN incluidos en un pedido de certificado (por ejemplo, un pedido de certificado Multi-Domain SSL) puede tener más de 64 caracteres.

  • Organización

    ¿La organización incluye un nombre asumido? ¿Piensa validar esa organización para los certificados de validación extendida (EV)? Asegúrese de que los valores del nombre de la organización + el nombre supuesto no superen los 64 caracteres.

  • Dirección 1

  • Dirección 2

  • Ciudad

  • Estado

  • Código postal

Violación por uso de guiones bajos

Para los certificados de confianza pública, ya no se permite el uso de guiones bajos ( _ ) en los siguientes casos:

  • Nombres comunes del sujeto

  • Nombres alternativos del sujeto (SAN)

Solo emitimos certificados para los dominios y subdominios que utilizan:

  • Letras minúsculas a-z

  • Letras mayúsculas A-Z

  • Números 0-9

  • Caracteres especiales: punto (.) y guion (-)

Importante

Actualmente, puede incluir guiones bajos en otros valores del certificado, como las unidades de la organización y los nombres de la organización. No obstante, el uso del guion bajo en estos valores es está reevaluando. Los estándares de la industria pueden cambiar y exigirle que también elimine los guiones bajos de estos valores.

Uso de la violación de los guiones dobles

El Foro de Autoridades de Certificación/Navegad (CA/B) aclaró un requisito de la papeleta 202 que exige a las CA que no emitan certificados públicos TLS/SSL con nombres de dominio internacionalizados no válidos.

A partir del 1 de octubre de 2021, para los certificados TLS/SSL de confianza pública, ya no permitimos el uso de guiones dobles (--) en el tercer y cuarto carácter de los nombres de dominio, a menos que los guiones dobles procedan de las letras xn (xn--ejemplo.com).

tabla 1. Ejemplos

Dominio

¿Permitido?

es--xyz.loudsquid.com

No

www.es--xyz.loudsquid.com

No

xn--xyz.loudsquid.com

Aceptar

xyz--loudsquid.com

Aceptar