Certificados públicos: entradas de datos que violan las normas del sector

Requisitos de base de referencia y violaciones a RFC 5280

Para los certificados con confianza pública, los estándares de la industria (requisitos de base de referencia y RFC 5280) exigen que las entradas de datos respeten ciertos criterios. Violar estos estándares al pedir un certificado evita que una Autoridad de certificados emita el certificado.

Violación del valor de unidad de organización

Para los certificados con confianza pública, el valor de la unidad de organización no es un valor obligatorio (campo). De acuerdo con los requisitos de base de referencia,, solo se necesitan las Autoridades de certificados (CA) para validar el valor de la unidad de organización, cuando se proporciona un valor. Si deja este campo en blanco (no proporcione el valor de una unidad de organización), las CA tienen órdenes de ni incluir el campo en el certificado.

Los requisitos de base de referencia también prohíben que este valor sea o parezca ser datos "no deseados" o indicadores de no aplicabilidad (nc, ?, etc.), lo que ayuda a mantener los certificados más chicos. Al hacerlo, esto garantiza que TLS siga siendo accesible para un mayor rango de usuarios y operadores de sitios.

La lista que aparece a continuación contiene algunos de los caracteres que si se ingresan solos en el campo de unidad de organización no representan un valor válido de unidad de organización.

  • "-" (guion)
  • " " (espacio)
  • "." (punto)
  • "?" (signo de interrogación)
  • "nc" (no corresponde)
  • "NC" (no corresponde)

Si solo coloca un guion en el campo de la unidad de organización, una CA no podrá validar el valor. No obstante, si ingresa el nombre de una organización que incluya un guion (por ejemplo, Dev-Ops), ese guion no evita que una CA valide el valor de su unidad de organización.

Violación del límite máximo de 64 caracteres

Para los certificados con confianza pública, no podemos permitir que estos valores (entradas de datos) superen el límite máximo de 64 caracteres, incluidos los espacios.

  • Nombre común
    No podemos permitir que el valor de nombre común supere el límite de 64 caracteres. Sin embargo, el valor de nombre alternativos del sujeto (SAN) no tiene las mismas restricciones de caracteres como el valor de nombre común. Los SAN incluidos en un pedido de certificado (por ejemplo, un pedido de certificado Multi- Domain SSL) puede tener más de 64 caracteres.
  • Organización
    ¿La organización incluye un nombre asumido? Además, ¿está planificando validar esa organización para los certificados de validación extendida (EV)?
    Entonces, asegúrese de que el nombre de la organización más los valores del nombre asumido no superen los 64 caracteres, incluidos los espacios.
  • Dirección 1
  • Dirección 2
  • Ciudad
  • Estado
  • Código postal

Violación por uso de guiones bajos

Para los certificados con confianza pública, ya no podemos utilizar guiones bajos ( _ ) en:

  • Nombre común del sujeto
  • Nombre alternativo del sujeto (SAN)

Desde el 1 de octubre de 2018, solo podemos utilizar certificados para dominios y subdominios que utilicen lo siguiente:

  • Letras minúsculas a-z
  • Letras mayúsculas A-Z
  • Números 0-9
  • Caracteres especiales: punto (.) y guion (‐)

Actualmente, puede incluir guiones bajos en los valores de otros certificados, como la unidad de organización y los nombres de organización. No obstante, el uso del guion bajo en estos valores es está reevaluando. Los estándares de la industria pueden cambiar y exigirle que también elimine los guiones bajos de estos valores.