Certificati pubblici – Dati inseriti che violano gli standard di settore
Violazioni dei requisiti base e RFC 5280
Per i certificati pubblicamente attendibili, gli standard di settore (requisiti base e RFC 5280) prevedono che i dati inseriti soddisfino determinati criteri. La violazione di questi standard quando si ordina un certificato impedisce a un’Autorità di certificazione (CA) di emettere il certificato.
Violazione del valore dell’unità dell'organizzazione
Importante
DigiCert depreca il campo Unità organizzativa (OU) per semplificare l’ordinazione del certificato SSL/TLS pubblico. Per ulteriori informazioni sulla deprecazione del campo OU, consulta DigiCert deprecherà il campo Unità organizzativa.
Per i certificati pubblicamente attendibili, il valore dell’unità dell'organizzazione non è un valore richiesto (campo).
In base ai requisiti base le Autorità di certificazione (CA) devono solo convalidare il valore dell’unità dell'organizzazione quando viene fornito un valore. Se lasci vuoto questo campo, le CA non devono includere il campo nel certificato.
I requisiti base impediscono anche che questo valore sia o sembri essere un dato “inutile” o un indicatore di non applicabilità (na, ?, ecc.), che contribuisce a limitare le dimensioni dei certificati. Limitando i certificati, si garantisce che TLS rimanga accessibile a un range maggiore di utenti e operatori del sito.
L’elenco riportato di seguito contiene caratteri che, se inseriti da soli nel campo dell’unità dell'organizzazione, non rappresentano un valore dell’unità dell'organizzazione valido:
“-” (trattino)
“ ” (spazio)
"." (punto)
"?" (punto interrogativo)
“na” (non applicabile)
“NA” (non applicabile)
Avvertimento
Se metti solo un trattino nel campo dell’unità dell'organizzazione, una CA non sarà in grado di convalidare il valore.
Tuttavia, se inserisci un nome organizzazione che include un trattino (ad esempio, Dev-Op), la CA potrà ancora convalidare il tuo valore dell’unità dell'organizzazione.
Violazione del limite massimo di 64 caratteri
Per i certificati pubblicamente attendibili, non possiamo lasciare che questi valori (dati inseriti) superino il limite massimo di 64 caratteri, compresi gli spazi:
Nome comune
Non possiamo lasciare che il valore del nome comune superi il limite di 64 caratteri. Tuttavia, i nomi alternativi soggetto (SAN) non hanno gli stessi limiti di lunghezza caratteri come il valore del nome comune. I SAN inclusi in un ordine di certificato (ad esempio, in un ordine di certificato multi-domain SSL) possono superare i 64 caratteri.
Organizzazione
L’organizzazione include un nome utilizzato? Hai in programma di convalidare quell’organizzazione per i certificati di convalida estesa (EV)? Verifica che i valori nome organizzazione + nome utilizzato non superino 64 caratteri, spazi inclusi.
Via 1
Via 2
Città
Stato
Codice postale
Uso della violazione delle trattini bassi
Per i certificati attendibili pubblicamente, non consentiamo più l’uso di trattini bassi ( _ ) in:
Nomi comuni soggetto
Nomi alternativi soggetto (SAN)
Emettiamo certificati solo per i domini e i sottodomini che usano:
Lettere minuscole a–z
Lettere maiuscole A–Z
Cifre 0–9
Caratteri speciali: punto (.) e trattino (‐)
Importante
Attualmente, puoi includere i trattini bassi in altri valori del certificato, come le unità dell'organizzazione e i nomi dell’organizzazione. Tuttavia, l’uso del trattino basso in questi valori viene rivalutato. Gli standard di settore possono cambiare e prevedere che rimuovi i trattini bassi anche da quei valori.
Violazione per l’uso del trattino doppio
Il Forum autorità di certificazione/browser (CA/B) ha chiarito un requisito nel punto 202 che imponeva alle autorità di certificazione (CA) di non emettere certificati TLS/SSL pubblici con nomi di dominio internazionalizzati non validi.
Con effetto il 1° ottobre 2021, per i certificati TLS/SSL attendibili pubblicamente, non consentiamo più l’uso di doppio trattino (--) al posto del terzo e quarto carattere di nomi di dominio, salvo che il doppio trattino non segua le lettere xn (xn--example.com).
Dominio | Consentito? |
---|---|
es--xyz.loudsquid.com | No |
www.es--xyz.loudsquid.com | No |
xn--xyz.loudsquid.com | OK |
xyz--loudsquid.com | OK |