Публичные сертификаты – Элементы данных, нарушающие отраслевые стандарты

Baseline requirements and RFC 5280 Violations

Что касается открытых доверенных сертификатов, промышленные стандарты (основополагающие требованияи RFC 5280) требуют, чтобы вводимые данные соответствовали определенным критериям. Несоблюдение данных стандартов при заказе сертификата является причиной, препятствующей выпуску сертификата центром сертификации (ЦС).

Недопустимое значение для организационного подразделения

Для открытых доверенных сертификатов значение, указываемое для организационного подразделения, не является необходимым параметром (полем). Согласно основополагающим требованиям, центры сертификации (ЦС) требуются для проверки значения, указанного для организационного подразделения, только в том случае, если это значение указано. Если вы оставляете данное поле пустым (не указываете значение для организационного подразделения), ЦС не будут включать данное поле в сертификат.

Основополагающие требования также запрещают рассматривать/отображать данное значение как "ненужные" данные или индикаторы неприменимости (na, ? и т. д.), что позволяет уменьшить объем сертификата. В результате снижения объема сертификатов TLS остается доступным для большего диапазона пользователей и операторов сайтов.

В перечне ниже приведены символы, которые при вводе их в поле организационного подразделения не являются действительным значением для организационного подразделения.

  • "-" (Дефис)
  • " " (Пробел)
  • "." (Точка)
  • "?" (Знак вопроса)
  • "na" (не применяется)
  • "NA" (не применяется)

Если вы укажете дефис в поле организационного подразделения, ЦС не сможет проверить данное значение. При этом если вы введете название организации, которое содержит дефис (например, Dev-Ops), данный дефис не будет препятствовать выполнению ЦС проверки значения вашего организационного подразделения.

Нарушение максимально допустимой длины 64 символа

Для открытых доверенных сертификатов мы не можем допустить, чтобы длина этих значений (элементов данных) превышала предельно допустимую длину 64 символа с учетом пробелов:

  • Общее имя
    Мы не можем допустить, чтобы длина общего имени превышала предельно допустимую длину 64 символа. Однако для значений альтернативных имен субъектов (SAN) аналогичные ограничения на длину в символах не распространяются. SAN, включенные в заказ сертификата (например, в заказ на многодоменный сертификат SSL), могут иметь длину более 64 символов.
  • Организация
    Включает ли организация в себя предполагаемое имя? А также планируете ли вы проверять организацию в случае сертификатов с расширенной проверкой (EV)?
    В этом случае нужно убедиться в том, что значения имени организации и предполагаемого имени не будут превышать 64 символов, включая пробелы.
  • Улица 1
  • Улица 2
  • Город
  • Штат
  • Почтовый индекс

Нарушение, связанное с использованием символа "_"

В открытых доверенных сертификатов мы не можем в дальнейшем использовать символ "_" в:

  • Общем имени субъекта
  • Альтернативном имени субъекта (SAN)

Начиная с 1 октября 2018 г., мы можем выпускать сертификаты для доменов и субдоменов, используя только следующие символы:

  • Буквы нижнего регистра a–z
  • Буквы верхнего регистра A–Z
  • Цифры 0–9
  • Специальные символ: точка (.) и дефис (‐)

В настоящее время вы можете включать символы "_" в другие параметры сертификатов, такие, как названия организационных подразделений и организаций. При этом использование символа "_" в данных параметрах переоценивается. Промышленные стандарты могут измениться, и от вас может потребоваться удаление символов "_" также и из указанных названий.