Certificados públicos - Entradas de dados que violam as normas da indústria
Requisitos de linha de base e violações da RFC 5280
Para certificados publicamente confiáveis, os padrões do setor (requisitos básicos e RFC 5280) exigem que as entradas de dados atendam a determinados critérios. Violar essas normas ao pedir um certificado impede uma Autoridade de certificação (CA) de emitir o certificado.
Violação do valor da unidade organizacional
Importante
A DigiCert está descontinuando o campo Unidade Organizacional (OU) para simplificar o pedido de certificado SSL/TLS público. Para obter mais informações sobre a suspensão de uso do campo OU, consulte A DigiCert substituirá o campo Unidade Organizacional.
Para certificados publicamente confiáveis, o valor da unidade organizacional não é um valor (campo) obrigatório.
De acordo com os requisitos de linha de base, as Autoridades de Certificação (CAs) só precisam validar o valor da unidade organizacional quando um valor é fornecido. Se você deixar este campo em branco, as CAs serão instruídas a não incluir o campo no certificado.
Os requisitos de linha de base também proíbem que esse valor seja ou pareça ser dados "lixo" ou indicadores de não aplicabilidade (na, ?, etc.), que mantêm os certificados menores. Ao manter os certificados menores, isso assegura que TLS permaneça acessível a uma grande variedade de usuários e operadores de sites.
A lista a seguir contém caracteres que, se inseridos sozinhos no campo da unidade de organização, não representam um valor de unidade de organização válido:
"-" (Hífen)
" " (Espaço)
"." (Ponto)
"?" (Ponto de interrogação)
“na” (Não aplicável)
“NA” (Não aplicável)
Atenção
Se você colocar um hífen sozinho no campo da unidade organizacional, uma CA não poderá validar o valor.
No entanto, se você inserir um nome de organização que inclua um hífen (por exemplo, Dev-Ops), uma CA ainda poderá validar o valor da unidade organizacional.
Violação do limite máximo de 64 caracteres
Para certificados publicamente confiáveis, não podemos permitir que estes valores (entradas de dados) excedam o limite máximo de 64 caracteres, incluindo espaços:
Nome comum
Não podemos permitir que o valor do nome comum exceda o limite de 64 caracteres. Contudo, o valor de nomes alternativos da entidade (SANs) não tem as mesmas restrições de comprimento de caracteres que o valor de nome comum. As SANs incluídas em um pedido de certificado (por exemplo, em um pedido de certificado SSL de vários domínios) podem ter mais de 64 caracteres.
Organização
A organização inclui um nome falso? Você planeja validar essa organização para certificados de validação estendida (EV)? Certifique-se de que os valores de nome da organização + nome falso não excedam 64 caracteres, incluindo espaços.
Rua 1
Rua 2
Cidade
Estado
CEP
Violação do uso de sublinhados
Para certificados confiáveis publicamente, não permitimos mais o uso de sublinhados (_) em:
Nomes comuns da entidade
Nomes alternativos da entidade (SANs)
Só emitimos certificados para domínios e subdomínios usando:
Letras minúsculas a-z
Letras Maiúsculas A-Z
Dígitos 0–9
Caracteres especiais: ponto (.) e hífen (‐)
Importante
Atualmente, você pode incluir sublinhados em outros valores do certificado, como unidade organizacional e nomes da organização. Contudo, o uso de sublinhado nesses valores está sendo reavaliado. Normas da indústria podem mudar e exigir que você remova os sublinhados desses valores também.
Violação do uso de traços duplos
O Fórum da Autoridade Certificadora/Navegador (CA/B) esclareceu um requisito na Cédula 202 exigindo que as CAs não emitam certificados TLS/SSL públicos com nomes de domínio internacionalizados inválidos.
A partir de 1º de outubro de 2021, para certificados TLS/SSL publicamente confiáveis, não permitimos mais o uso de traços duplos (--) no terceiro e quarto caracteres em nomes de domínio, a menos que os traços duplos precedam as letras xn (xn--exemplocom).
Domínio | Permitido? |
---|---|
es--xyz.loudsquid.com | Não |
www.es--xyz.loudsquid.com | Não |
xn--xyz.loudsquid.com | OK |
xyz--loudsquid.com | OK |