일반 인증서 - 업계 표준을 위반하는 데이터 항목
기준선 요구 사항 및 RFC 5280 위반
공개 신뢰 인증서에 대해 업계 표준(기준선 요구 사항 및 RFC 5280)은 데이터 엔트리가 특정 조건을 충족하도록 요구합니다. 인증서를 주문할 때 이 표준을 위반하면 CA(인증 기관)는 인증서를 발급할 수 없습니다.
조직 부분 값 위반
중요
DigiCert는 일반 SSL/TLS 인증서 주문을 단순화하기 위해 OU(조직 단위) 필드를 사용 중단했습니다. OU 필드 사용 중단에 대한 자세한 정보는 DigiCert에서 조직 단위 필드 사용 중단을 참고하십시오.
일반 신뢰 인증서의 경우 조직 부분 값은 필수 값(필드)이 아닙니다.
기준선 요구 사항에 따라 CA(인증 기관)는 값이 제공되었을 때만 조직 부분 값을 유효성을 검사해야 합니다. 이 필드를 비워두는 경우, CA는 인증서에 이 필드를 포함하지 않도록 요구됩니다.
기준선 요구 사항은 또한 이 값이 "정크" 데이터 또는 해당 없음(na, ? 등)으로 표시되는 것을 금지하여 인증서를 더 작게 유지합니다. 인증서를 더 작게 유지하여 TLS가 더 다양한 유형의 사용자 및 사이트 운영자에게 액세스가 가능하게 됩니다.
아래의 목록은 조직 단위 필드에 단독적으로 입력된 경우 유효한 조직 단위 값을 나타내지 않는 문자를 포함합니다.
"-"(하이픈)
" "(공백)
"." (마침표)
"?" (물음표)
"na" (해당 없음)
"NA" (해당 없음)
주의
조직 단위 필드에만 하이픈만 입력하는 경우, CA는 값의 유효성을 검사할 수 없습니다.
그렇지만 하이픈을 포함하는 조직 이름(예를 들어 Dev-Ops)을 입력하는 경우, CA는 여전히 조직 단위 값의 유효성을 검사할 수 있습니다.
64자 최대 한도 위반
공개 신뢰 인증서의 경우 다음 값(데이터 엔트리)가 공백을 포함하여 64자 최대 한도를 초과하는 것은 허용하지 않습니다.
일반 이름
일반 이름 값이 64자 한도를 초과하는 것은 허용되지 않습니다. 그렇지만 SAN(주체 대체 이름) 값은 일반 이름 값과 같은 글자 길이 제한이 없습니다. 인증서 주문(예를 들어 멀티도메인 SSL 인증서 주문)에 포함된 SAN은 64자를 초과할 수 있습니다.
조직
조직에 알려진 이름(assumed name)이 포함됩니까? EV(확장 유효성 검사) 인증서의 조직에 대해 유효성 검사를 수행할 계획입니까? 조직 이름 + 알려진 이름 값이 공백을 포함하여 64자를 초과하지 않는지 확인하십시오.
거리 1
거리 2
시
주
우편 번호
밑줄의 사용 위반
공개 신뢰 인증서의 경우 더 이상 다음 항목에서 밑줄(_)의 사용을 허용하지 않습니다.
주체 일반 이름
주체 대체 이름(SAN)
저희는 다음을 사용하는 도메인 및 하위 도메인에 대한 인증서만 발급할 수 있습니다.
소문자 a~z
대문자 A~Z
숫자 0~9
특수 문자: 마침표(.) 및 하이픈(‐)
중요
현재는 조직 단위 및 조직 이름과 같은 다른 인증서 값에 밑줄을 포함할 수 있습니다. 그렇지만 이런 값에서 밑줄의 사용은 다시 평가 중입니다. 업계 표준은 변경될 수 있으며 이런 값에서도 밑줄을 제거해야 할 수 있습니다.
더블 대시의 사용 위반
CA/B(인증 기관/브라우저) 포럼은 CA가 무효한 다국어 도메인 이름이 있는 일반 TLS/SSL 인증서를 발급하지 않도록 요구하는 투표 2002의 요구 사항에 대해 설명했습니다.
2021년 10월 1일부로 공개 신뢰 TLS/SSL 인증서에 대해 더 이상 도메인의 세 번째 및 네 번째 글자에 더블 대시(--)를 사용하는 것을 허용하지 않습니다. 더블 대시 앞에 글자 'xn'이 있는 경우(xn--example.com)는 예외입니다.
도메인 | 허용? |
---|---|
es--xyz.loudsquid.com | 아니오 |
www.es--xyz.loudsquid.com | 아니오 |
xn--xyz.loudsquid.com | 확인 |
xyz--loudsquid.com | 확인 |