Skip to main content

公用憑證 – 違反業界標準的資料條目

基準要求和 RFC 5280 違規

關於公開信任憑證,業界標準 (基準要求RFC 5280) 需要資料項目符合特定標準。訂購憑證時,違反這些標準會阻止 Certificate Authority (憑證授權單位,CA) 發行憑證。

違反組織單位值

Important

DigiCert 正在取代組織單位 (OU) 欄位以簡化公用 SSL/TLS 憑證的訂購。如需更多有關 OU 欄位取代的資訊,請參閱 DigiCert 將取代組織單位欄位

關於公開信任憑證,組織單位不是必要值 (欄位)。

根據基準要求,提供值時,驗證組織單位值僅需要憑證授權單位 (CA)。如果您將此欄位留白,將指示 CA 不將欄位納入憑證。

基準要求也禁止此值顯示為「垃圾」資料,或將憑證保持更小的不適用 (不適用、? 等) 指示器。將憑證保留更小確保更大範圍的使用者和網站操作員仍可以存取 TLS。

以下清單包含字元,如果是他們自己在組織單位欄位中輸入不代表有效的組織單位:

  • "-" (連字號)

  • " " (空格)

  • "."(句點)

  • "?"(問號)

  • "na" (不適用)

  • "NA" (不適用)

Warning

如果您僅在組織單位欄位中放入連字號,CA 將無法驗證值。

但如果您輸入其中有連字號的組織名稱 (例如 Dev-Ops),CA 仍可以驗證您的組織單位值。

違反最大 64 字元限制

對於公開信任憑證,我們無法允許這些值 (輸入的資料) 超過最大 64 位元的限制,包括空格:

  • 一般名稱

    我們不允許一般名稱值超過 64 個字元的限制。但主體別名 (SAN) 值沒有和一般名稱值有一樣的字元長度限制。憑證訂單中包含的 SAN (例如在 Multi-Domain SSL 憑證訂單中) 可能大於 64 個字元。

  • 組織

    組織是否包含通稱?是否計畫驗證組織的延伸驗證 (EV) 憑證?請確定組織名稱 + 通稱值未超過 64 個字元,包括空格。

  • 街道 1

  • 街道 2

  • 城市

  • 郵遞編號

違反使用底線

對於公開信任憑證,我們再也不允許在以下各項目中請使用底線 ( _ ):

  • 主體一般名稱

  • 主體別名 (SAN)

我們僅能發行使用以下的網域和子網域的憑證:

  • 小寫字母 a–z

  • 大寫字母 A–Z

  • 數字 0–9

  • 特殊字元:句點 (.) 和連字號 (-)

Important

目前,您可以在其他憑證值中加入底線,例如組織單位和組織名稱。然而,使用這些值中的底線正在重新評估。業界標準可能變更,並且需要您移除那些值中的底線。

違規使用雙破折號

Certificate Authority/Browser (CA/B) 論壇在 Ballot 202 中說明規定,要求 CA 不發行有無效的國際網域名稱的公用 TLS/SSL 憑證。

2021 年 10 月 1 日生效,對於公開受信任的 TLS/SSL 憑證,我們不再允許在網域名稱的第三和第四個字元中使用雙破折號 (--),除非雙破折號緊接者字母 xn 之後 (xn--example.com)。

Table 1. 範例

網域

允許?

es--xyz.loudsquid.com

www.es--xyz.loudsquid.com

xn--xyz.loudsquid.com

xyz--loudsquid.com