公用憑證 – 違反業界標準的資料條目

基準要求和 RFC 5280 違規

關於公開信任憑證，業界標準 (基準要求和 RFC 5280) 需要資料項目符合特定標準。訂購憑證時，違反這些標準會阻止 Certificate Authority (憑證授權單位，CA) 發行憑證。

DigiCert 正在取代組織單位 (OU) 欄位以簡化公用 SSL/TLS 憑證的訂購。如需更多有關 OU 欄位取代的資訊，請參閱 DigiCert 將取代組織單位欄位。

關於公開信任憑證，組織單位不是必要值 (欄位)。

根據基準要求，提供值時，驗證組織單位值僅需要憑證授權單位 (CA)。如果您將此欄位留白，將指示 CA 不將欄位納入憑證。

基準要求也禁止此值顯示為「垃圾」資料，或將憑證保持更小的不適用 (不適用、? 等) 指示器。將憑證保留更小確保更大範圍的使用者和網站操作員仍可以存取 TLS。

以下清單包含字元，如果是他們自己在組織單位欄位中輸入不代表有效的組織單位:

如果您僅在組織單位欄位中放入連字號，CA 將無法驗證值。

但如果您輸入其中有連字號的組織名稱 (例如 Dev-Ops)，CA 仍可以驗證您的組織單位值。

對於公開信任憑證，我們無法允許這些值 (輸入的資料) 超過最大 64 位元的限制，包括空格：

一般名稱
我們不允許一般名稱值超過 64 個字元的限制。但主體別名 (SAN) 值沒有和一般名稱值有一樣的字元長度限制。憑證訂單中包含的 SAN (例如在 Multi-Domain SSL 憑證訂單中) 可能大於 64 個字元。
組織
組織是否包含通稱？是否計畫驗證組織的延伸驗證 (EV) 憑證？請確定組織名稱 + 通稱值未超過 64 個字元，包括空格。
街道 1
街道 2
城市
州
郵遞編號

對於公開信任憑證，我們再也不允許在以下各項目中請使用底線 ( _ )：

我們僅能發行使用以下的網域和子網域的憑證：

目前，您可以在其他憑證值中加入底線，例如組織單位和組織名稱。然而，使用這些值中的底線正在重新評估。業界標準可能變更，並且需要您移除那些值中的底線。

Certificate Authority/Browser (CA/B) 論壇在 Ballot 202 中說明規定，要求 CA 不發行有無效的國際網域名稱的公用 TLS/SSL 憑證。

2021 年 10 月 1 日生效，對於公開受信任的 TLS/SSL 憑證，我們不再允許在網域名稱的第三和第四個字元中使用雙破折號 (--)，除非雙破折號緊接者字母 xn 之後 (xn--example.com)。

Table 1. 範例