Исключение нижних подчеркиваний в доменных именах

В отрасли прекращается использование символа нижнего подчеркивания в именах доменов в открытых сертификатах SSL.

На основании ЦС/Browser Forum Бюллетень SC12: прекращение использования нижнего подчеркивания в записях DNSName, в отрасли прекращается использование нижнего подчеркивания ("_") в именах доменов в открытых сертификатах SSL. 14 января 2019 года ваши существующие сертификаты DigiCert, содержащие нижнее подчеркивание, будут отозваны.

Этот бюллетень не влияет ни на частные сертификаты SSL, ни на другие цифровые сертификаты, например, для подписывания кодов, клиентские сертификаты и т. д.

В бюллетене SC12 определены некоторые важные даты для удаления нижнего подчеркивания вместе с важным условием, позволяющим продолжить использовать подчеркивание тем, кому это настоятельно необходимо в течение чуть более длительного периода времени. 1 мая 2019 года отраслевые стандарты предписывают, что открытые сертификаты SSL более не должны защищать доменные имена с нижним подчеркиванием ("_").

Условие: 30-дневные сертификаты с подчеркиванием

В течение ограниченного периода времени центрам сертификации (ЦС) разрешено выдавать открытые сертификаты SSL, содержащие нижнее подчеркивание ("_"). Это условие подразумевает предоставление вам дополнительного времени на поиск постоянного решения для миграции.

В любом случае, в Бюллетене SC12 содержатся конкретные инструкции по обеспечению соответствия этих сертификатов техническим условиям.

  • Максимальный срок действия составляет 30 дней для открытых сертификатов SSL, содержащих нижние подчеркивания в доменных именах.
  • Все открытые сертификаты SSL, содержащие нижнее подчеркивание в доменных именах, должны быть выданы до 1 апреля 2019 года.
  • Срок действия всех открытых сертификатов SSL, содержащих нижнее подчеркивание в доменных именах, должен заканчиваться до 30 апреля 2019 года.
  • Нижних подчеркиваний не должно быть в имени базового домена (
    "example_domain.com" не допускается).
  • Нижних подчеркиваний не должно быть в крайней левой части имени домена (
    "_example.domain.com" и "example_domain.example.com" не допускаются).

Примечание относительно групповых сертификатов: Если нижнее подчеркивание присутствует в крайней левой части имени домена, используйте групповой сертификат. Групповой сертификат для *.example.com обеспечивает безопасность example_domain.example.com и _example.domain.example.com.

Для временных шкал и привязанной к конкретным датам информации:

Варианты устранения проблемы нижнего подчеркивания

Предпочтительным решением является переименование имен хостов (FQDN), которые содержат нижние подчеркивания, и замена сертификатов. В тех ситуациях, когда переименование невозможно, вы можете использовать частные сертификаты и в некоторых случаях вы можете использовать сертификат с поддержкой субдоменов, который защищает весь домен. Подробную информацию см. в разделе Нижнее подчеркивание не разрешено в полных доменных именах (FQDN).