Skip to main content

Révoquer les noms de domaine comportant des underscores

Le secteur révoque les certificats SSL publics dont les domaines contiennent des underscores

Suite au vote CA/Browser Forum Ballot SC12 Sunset of Underscores in DNSNAmes : (fin progressive du caractère underscore dans les noms DNS), l'industrie révoque les certificats SSL publics dont les domaines contiennent des underscores (_). Le 14 janvier 2019, vos certificats DigiCert existants contenant des underscores seront révoqués.

Ce vote n'affecte pas les certificats SSL privés, pas plus que les autres types de certificats numériques tels que les certificats de signature de code, les certificats client, etc.

Le vote SC12 établit des dates précises pour la révocation des underscores ainsi qu'une disposition importante pour aider les personnes confrontées à un besoin urgent de continuer à utiliser les underscores pour une période prolongée. D'ici le 1er mai 2019, les normes en vigueur dans l'industrie exigent que les certificats SSL publics ne sécurisent plus les noms de domaine avec des underscores (_).

Approvisionnement : Certificats qui contiennent des underscores de 30 jours

Pour une durée limitée, les AC sont autorisées à émettre des certificats SSL publics qui contiennent des underscores (« _ »). Cette disposition vise à vous accorder un délai supplémentaire pour trouver une solution de migration permanente.

Cependant, le vote SC12 prévoit des directives spécifiques pour garantir la conformité de ces certificats.

  • Validité maximale de 30 jours pour les certificats SSL dont les domaines contiennent des underscores.

  • Tous les certificats SSL publics qui contiennent des underscores dans les noms de domaine doivent être émis avant le 1er avril 2019.

  • Tous les certificats SSL publics qui contiennent des underscores dans les noms de domaine devront expirer au plus tard le 31 avril 2019.

  • Le domaine de base ne doit pas contenir d'underscores.

    « domaine_exemple.com » n’est pas permis.

  • La partie la plus à gauche d'un domaine ne doit pas contenir d'underscores.

    « _exemple.domaine.com » et « exemple_domaine.exemple.com » ne sont pas permis.

Remarque relative aux certificats à caractère générique : Si des underscores sont présents dans le libellé du domaine le plus à gauche, choisissez plutôt un certificat à caractère générique. Un certificat à caractère générique pour *.exemple.com sécurise exemple_domaine.exemple.com et _example.domaine.exemple.com.

Pour les informations relatives aux délais et aux dates :

Options au sujet des underscores

La solution préférée consiste à renommer les autres noms d’hôte (FQDN) qui contiennent des underscores et de remplacer les certificats. Dans les cas où le remplacement du nom est impossible, vous pouvez utiliser des certificats privés et, dans certains cas, un certificat à caractère générique qui protège l’intégralité du domaine. Pour obtenir davantage d'informations, consultez la page Underscores non autorisés dans les FQDN.