일반 인증서 – 업계 표준을 위반하는 데이터 항목

기준선 요구 사항 및 RFC 5280 위반

공개 신뢰 인증서, 업계 표준(기준선 요구 사항RFC 5280)은 데이터 엔트리가 특정 조건을 충족하도록 요구합니다. 인증서를 주문할 때 이 표준을 위반하면 CA(인증 기관)는 인증서를 발급할 수 없습니다.

조직 부분 값 위반

DigiCert는 일반 SSL/TLS 인증서 주문을 단순화하기 위해 OU(조직 단위) 필드를 사용 중단했습니다. OU 필드 사용 중단에 대한 자세한 정보는 기술 자료 문서 DigiCert에서 조직 단위 필드 사용 중단을 참고하십시오.

일반 신뢰 신증서의 경우 조직 부분 값은 필수 값(필드)이 아닙니다. 기준선 요구 사항에 따르면, CA(인증 기관)는 값이 제공되었을 때만 조직 부분 값을 유효성을 검사해야 합니다. 이 필드를 비워두는(조직 단위 값을 제공하지 않음) 경, CA는 인증서에 이 필드를 포함하지 않도록 요구됩니다.

기준선 요구 사항은 또한 이 값이 "정크" 데이터 또는 해당 없음(na, ? 등)을 표시하는 것으로 보이는 경우 금지하여 인증서를 더 작게 유지합니다. 인증서를 더 작게 유지하여 TLS가 더 다양한 유형의 사용자 및 사이트 운영자에게 액세스가 가능하게 됩니다.

아래의 목록은 조직 단위 필드에 단독적으로 입력된 경우 유효한 조직 단위 값을 나타내지 않는 문자의 일부분입니다.

  • "-" (하이픈)
  • " " (공백)
  • "." (점)
  • "?" (물음표)
  • "na" (해당 없음)
  • "NA" (해당 없음)

조직 단위 필드에만 하이픈을 입력하는 경우, CA는 값을 유효성을 검사할 수 없습니다. 그렇지만 하이픈을 포함하는 조직 이름(예를 들어 Dev-Ops)을 입력하는 경우, 이 하이픈은 CA가 조직 단위 값을 유효성 검사하는 것을 중단시키지 않습니다.

64자 최대 한도 위반

공개 신뢰 인증서의 경우 다음 값(데이터 엔트리)가 공백을 포함하여 64자 최대 한도를 초과하는 것은 허용하지 않습니다.

  • 일반 이름
    일반 이름 값이 64자 한도를 초과하는 것을 허용할 수 없습니다. 그렇지만 SAN(주체 대체 이름) 값은 일반 이름 값과 같은 글자 길이 제한이 없습니다. 인증서 주문(예를 들어 멀티도메인 SSL 인증서 주문)에 포함된 SAN은 64자보다 더 많을 수 있습니다.
  • 조직
    조직에 알려진 이름이 포함되었습니까? 또한 EV(확장 유효성 검사) 인증서에 대한 조직을 유효성 검사할 계획입니까?
    그렇다면 조직 이름 + 알려진 이름 값이 공백을 포함하여 64자를 초과하지 않아야 합니다.
  • 거리 1
  • 거리 2
  • 우편 번호

밑줄의 사용 위반

공개 신뢰 인증서의 경우 더 이상 다음 항목에서 밑줄(_)의 사용을 허용할 수 없습니다.

  • 주체 일반 이름
  • SAN(주체 대체 이름)

2018년 10월 1일 기준으로 저희는 다음을 사용하는 도메인 및 하위 도메인에 대한 인증서만 발급할 수 있습니다.

  • 소문자 a~z
  • 대문자 A~Z
  • 숫자 0~9
  • 특수 문자: 점 (.) 및 하이픈(‐)

현재는 조직 단위 및 조직 이름과 같은 다른 인증서 값에 밑줄을 포함할 수 있습니다. 그렇지만 이런 값에서 밑줄의 사용은 다시 평가 중입니다. 업계 표준은 변경될 수 있으며 이런 값에서도 밑줄을 제거해야 할 수 있습니다.