パブリック証明書 – 業界標準に違反するデータエントリ
基本要件およびRFC 5280の違反
パブリック証明書については、業界標準(基本要件およびRFC 5280)によって、データエントリが特定の基準を満たすことが義務付けられています。証明書のオーダー時にこれらの標準に違反すると、認証局(CA)は証明書を発行できません。
組織部門の値に関する違反
重要
デジサートは、パブリックSSL/TLSサーバ証明書のオーダーを簡素化するために、組織部門(OU)フィールドを廃止します。OUフィールドの廃止に関する詳細については、「デジサートは組織部門フィールドを廃止します」を参照してください。
パブリック証明書の場合、組織部門の値は必須の値(フィールド)ではありません。
基本要件によると、認証局(CA)には、組織部門の値が提供されている場合にその値を検証することのみが義務付けられています。このフィールドが空になっている場合、CAは証明書にこのフィールドを含めないように指示されています。
基本要件は、この値を「ジャンク」データ、もしくはそのように見受けられるデータにすること、または「na」や「?」などの「該当なし」であることを示す値にすることも禁止しており、そうすることで証明書が小さく保たれます。証明書を小さく保つことは、より幅広いユーザーおよびサイト運営者がTLSにアクセスできることを確実にします。
以下は、組織単位フィールドに単独で入力された場合は有効な組織単位の値を表さない文字のリストです。
「-」(ハイフン)
「 」(空白)
「.」(ピリオド)
「?」(疑問符)
「na」(該当なし)
「NA」(該当なし)
警告
組織単位フィールドにハイフンを単独で入力すると、CAはその値を検証できません。
ただし、ハイフンが含まれる組織名(Dev-Opsなど)を入力する場合は、CAによる組織単位の値の検証が可能です。
64文字の上限に関する違反
パブリック証明書では、64文字(空白を含む)の文字数上限を超える以下の値(データエントリ)は許可されません。
コモンネーム
64文字の文字数上限を超えるコモンネームの値は許可されません。ただし、サブジェクトの別名(SAN)の値にはコモンネームの値と同じ文字数制限がありません。証明書オーダー(Multi-Domain SSL証明書オーダーなど)に含まれるSANは、64文字を超える文字数にすることができます。
組織
組織に通称が含まれていますか?EV認証(EV)証明書のために組織を検証する予定ですか?その場合は、組織名+通称の値が64文字(空白を含む)を超えないようにしてください。
番地1
番地2
市町村名
州
郵便番号
アンダースコアの使用に関する違反
パブリック証明書では、以下に対するアンダースコア(_)の使用が許可されなくなりました。
サブジェクトのコモンネーム
サブジェクトの別名(SAN)
デジサートは、以下を使用するドメインおよびサブドメインの証明書のみを発行します。
a~zの小文字
A~Zの大文字
0~9の数字
特殊文字:ピリオド(.)およびハイフン(‐)
重要
現在、組織単位や組織名などの証明書の他の値にはアンダースコアを含めることができますが、これらの値でのアンダースコアの使用も再検中です。業界標準がアンダースコアの使用を変更し、これらの値からもアンダースコアを削除するように義務付ける可能性があります。
二重ダッシュの使用に関する違反
Certificate Authority/Browser(CA/B)Forumは、無効な国際化ドメイン名が含まれるパブリックSSL/TLSサーバ証明書を発行しないことを認証局に義務付けるBallot 202の要件を明確化しました。
2021年10月1日付けで、パブリックSSL/TLSサーバ証明書では、二重ダッシュが文字「xn」に続く場合(xn--example.com)を除き、ドメイン名の3番目と4番目の文字での二重ダッシュ(--)の使用が許可されなくなりました。
ドメイン | 許可の可否 |
|---|---|
es--xyz.loudsquid.com | いいえ |
www.es--xyz.loudsquid.com | いいえ |
xn--xyz.loudsquid.com | OK |
xyz--loudsquid.com | OK |