Certificati pubblici – Dati inseriti che violano gli standard di settore

Violazione dei requisiti base e RFC 5280

Per i certificati pubblicamente attendibili, gli standard di settore (requisiti base e RFC 5280) prevedono che i dati inseriti soddisfino determinati criteri. La violazione di questi standard quando si ordina un certificato impedisce ad un’Autorità di certificazione (CA) di emettere il certificato.

Violazione del valore dell’unità dell'organizzazione

Per i certificati pubblicamente attendibili, il valore dell’unità dell'organizzazione non è un valore richiesto (campo). In base ai requisiti base, Le Autorità di certificazione (CA) devono solo convalidare il valore dell’unità dell'organizzazione, quando viene fornito un valore. Se lasci vuoto questo campo (non fornisci un valore dell’unità dell'organizzazione), le CA non devono includere il campo nel certificato.

I requisiti base impediscono anche che questo valore sia o sembri essere un dato "inutile" o un indicatore di non applicabilità (na, ?, ecc.), limitando i certificati. Limitando i certificati, si garantisce che TLS rimanga accessibile ad un range maggiore di utenti e operatori del sito.

L’elenco riportato di seguito contiene alcuni caratteri che, se inseriti da soli nel campo dell’unità dell'organizzazione, non rappresentano un valore dell’unità dell'organizzazione valido.

  • "-" (trattino)
  • " " (spazio)
  • "." (punto)
  • "?" (punto interrogativo)
  • "na" (non applicabile)
  • "NA" (non applicabile)

Se metti solo un trattino nel campo dell’unità dell'organizzazione, una CA non sarà in grado di convalidare il valore. Tuttavia, se inserisci un nome organizzazione che include un trattino (ad esempio, Dev-Op), questo trattino non impedisce ad una CA di convalidare il tuo valore dell’unità dell'organizzazione.

Violazione del limite massimo di 64 caratteri

Per i certificati pubblicamente attendibili, non possiamo lasciare che questi valori (dati inseriti) superino il limite massimo di 64 caratteri, compresi gli spazi:

  • Nome comune
    Non possiamo lasciare che il valore del nome comune superi il limite di 64 caratteri. Tuttavia, i nomi alternativi soggetto (SAN) non hanno gli stessi limiti di lunghezza caratteri come il valore del nome comune. I SAN inclusi in un ordine di certificato (ad esempio, in un ordine di certificato Multi-Domain SSL) possono superare i 64 caratteri.
  • Organizzazione
    L’organizzazione include un nome utilizzato? Hai in programma di convalidare quell’organizzazione per i certificati di convalida estesa (EV)?
    Allora verifica che il nome organizzazione + i valori del nome utilizzato non superino 64 caratteri, spazi inclusi.
  • Via 1
  • Via 2
  • Città
  • Stato
  • Codice postale

Uso della violazione delle trattini bassi

Per i certificati attendibile pubblicamente, non possiamo più consentire l’uso di trattini bassi ( _ ) in:

  • Nome comune soggetto
  • Nome alternativo soggetto (SAN)

A partire dal 1° ottobre 2018, possiamo emettere certificati solo per i domini e i sottodomini che usato:

  • Lettere minuscole a–z
  • Lettere maiuscole A–Z
  • Cifre 0–9
  • Caratteri speciali: punto (.) e trattino (‐)

Attualmente, puoi includere i trattini bassi in altri valori del certificato, come l’unità dell'organizzazione e i nomi organizzazione. Tuttavia, l’uso del trattino basso in questi valori viene rivalutato. Gli standard di settore possono cambiare e prevedere che rimuovi i trattini bassi anche da quei valori.