Skip to main content

Openbare certificaten – Gegevensinvoer die industriestandaarden schendt

Basisvereisten en RFC 5280-overtredingen

Voor openbaar vertrouwde certificaten vereisen industriestandaarden (basisvereisten en RFC 5280) gegevensinvoer om aan bepaalde criteria te voldoen. Het overtreden van deze standaarden bij het bestellen van een certificaat verhindert dat een certificeringsinstantie (CA) het certificaat uitgeeft.

Schending van waarde organisatie-eenheid

Belangrijk

DigiCert stopt met het veld Organisatie-eenheid (OE) om het bestellen van openbare SSL/TLS-certificaten te vereenvoudigen. Zie DigiCert gaat gebruik van het veld Organisatie-eenheid afschaffen voor meer informatie over het afschaffen van OE-velden.

Voor openbaar vertrouwde certificaten is de waarde van de organisatie-eenheid geen vereiste waarde (veld).

Volgens basisvereisten zijn certificaatinstanties (CA's) alleen verplicht om de waarde van de organisatie-eenheid te valideren wanneer een waarde wordt opgegeven. Als u dit veld leeg laat, krijgen CA's de instructie om het veld niet in het certificaat op te nemen.

Basisvereisten verbieden ook dat deze waarde uit ongewenste gegevens of indicatoren van niet-toepasbaarheid (nvt, ?, etc.) bestaat of lijkt te bestaan, waardoor certificaten kleiner blijven. Door de certificaten kleiner te houden blijft TLS toegankelijk voor een groter aantal gebruikers en site-operators.

De onderstaande lijst bevat tekens die, als ze alleen in het veld Organisatie-eenheid worden ingevoerd, geen geldige waarde voor de organisatie-eenheid vertegenwoordigen:

  • "-" (koppelteken)

  • " " (spatie)

  • "." (punt)

  • "?" (vraagteken)

  • "nvt" (niet van toepassing)

  • "NVT" (niet van toepassing)

Waarschuwing

Als u alleen een koppelteken in het veld Organisatie-eenheid plaatst, kan een CA de waarde niet valideren.

Als u echter een organisatienaam invoert die een koppelteken bevat (zoals Dev-Ops), kan een CA nog steeds de waarde van uw organisatie-eenheid valideren.

Overschrijding van de maximumlimiet van 64 tekens

Voor openbaar vertrouwde certificaten kunnen we niet toestaan dat deze waarden (gegevensinvoer) de limiet van 64 teken, inclusief spaties, overschrijden:

  • Algemene naam

    We kunnen niet toestaan dat de algemene naam de limiet van 64 tekens overschrijdt. De waarde voor alternatieve onderwerpnamen (SAN's) heeft echter niet dezelfde beperkingen voor de tekenlengte als de waarde voor de algemene naam. De SAN's die zijn opgenomen in een certificaatorder (bijvoorbeeld in een Multi-Domain SSL-certificaatorder) mogen langer zijn dan 64 tekens.

  • Organisatie

    Bevat de organisatie een aangenomen naam? Wilt u die organisatie valideren voor EV-certificaten? Let erop dat de waarden voor organisatienaam + aangenomen naam niet langer zijn dan 64 tekens, spaties inbegrepen.

  • Adres 1

  • Adres 2

  • Plaats

  • Staat

  • Postcode

Gebruik van onderstrepingstekens niet meer toegestaan

Voor openbaar vertrouwde certificaten is het gebruik van onderstrepingstekens ( _ ) niet langer toegestaan in:

  • Algemene onderwerpnamen

  • Alternatieve onderwerpnamen (SAN's)

We geven alleen certificaten uit voor domeinen en subdomeinen met behulp van:

  • Kleine letters a–z

  • Hoofdletters A–Z

  • Cijfers 0–9

  • Speciale tekens: punt (.) en koppelteken (-)

Belangrijk

Momenteel kunt u onderstrepingstekens opnemen in andere certificaatwaarden, zoals organisatie-eenheden en organisatienamen. Het gebruik van het onderstrepingsteken in deze waarden wordt echter heroverwogen. Industriestandaarden kunnen veranderen en vereisen dat u ook de onderstrepingstekens van die waarden verwijdert.

Gebruik van dubbele streepjes niet meer toegestaan

Het Certificate Authority/Browser (CA/B) Forum gaf een verduidelijking bij een vereiste in Ballot 202 dat CA's geen openbare TLS/SSL-certificaten met ongeldige geïnternationaliseerde domeinnamen mogen uitgeven.

Met ingang van 1 oktober 2021 staan we voor openbaar vertrouwde TLS/SSL-certificaten geen gebruik meer toe van dubbele streepjes (--) als het derde en vierde teken in domeinnamen, tenzij de dubbele streepjes een voortzetting zijn van de letters xn (xn--voorbeeld.com).

tabel 1. Voorbeelden

Domein

Toegestaan?

es--xyz.loudsquid.com

Nee

www.es--xyz.loudsquid.com

Nee

xn--xyz.loudsquid.com

OK

xyz--loudsquid.com

OK


In deze sectie: