Skip to main content

公共证书 - 违反行业标准的数据条目

基准要求和 RFC 5280 违规

对于公共信任的证书,行业标准(基准要求RFC 5280)要求数据条目符合特定标准。在订单证书时违反这些标准将导致证书颁发机构 (CA) 无法颁发证书。

组织单位值违规

重要

DigiCert 将弃用组织单位 (OU) 字段,以简化公共 SSL/TLS 证书的订购流程。有关弃用 OU 字段的更多信息,请参阅 DigiCert 将弃用组织单位字段

对于公共信任的证书,组织单位值不是必需的值(字段)。

根据基准要求,只有当提供组织单位值时,才要求证书颁发机构 (CA) 验证组织单位值。如果您将此字段留空,即表示您指示 CA 不在证书中纳入此字段。

基准要求还禁止该值被当做(疑似)“垃圾”数据或非适用性指示符(不适用、? 等),以降低证书大小。控制证书的大小能确保更多的用户和网站运营商可访问 TLS。

下表中包含的字符如果由他们自己在组织单位值中输入,则不代表有效的组织单位值:

  • “-”(连字符)

  • “ ” (空格符)

  • “.”(句点)

  • “?”(问好)

  • “na”(不适用)

  • “NA”(不适用)

警告

如果您仅在组织单位值中输入连字符,CA 将无法验证该值。

但是,如果您输入的组织名称包括连字符(例如,Dev-Ops),CA 将仍然能够验证您的组织单位值。

64 个字符长度限制违规

对于公共信任的证书,我们不允许这些值(数据条目)超出 64 个字符的长度限制,包括空格:

  • 公用名

    我们不允许公用名值超出 64 个字符长度限制。但是,使用者可选名称 (SAN) 值不和公用名值适用相同的字符长度限制。证书订单(例如,多域 SSL 证书订单)中包括的 SAN 可以超过 64 个字符。

  • 组织

    组织是否包括假名?您是否计划验证该组织以获得扩展验证 (EV) 证书?确保组织名称 + 假名值不超过 64 个字符(包括空格)。

  • 街道地址 1

  • 街道地址 2

  • 城市

  • 邮政编码

使用下划线违规

对于公共信任的证书,我们不再允许在以下位置使用下划线 (_):

  • 使用者公用名

  • 使用者可选名称 (SAN)

我们只为使用以下字符的域和子域颁发证书:

  • 小写字母 a-z

  • 大写字母 A-Z

  • 数字 0-9

  • 特殊字符:句点(.) 和连字符 (-)

重要

目前,在其他证书值中可以包含下划线,例如,组织单位和组织名称。但是,我们正在重新评估是否允许在这些值中使用下划线。行业标准可能有变,并要求您也从这些值中删除下划线。

双连接号违规使用

证书颁发机构/浏览器 (CA/B) 论坛在第 202 号公告中明确要求 CA 不再颁发具有无效国际域名的公共 TLS/SSL 证书。

从 2021 年 10 月 1 日开始,对于公共信任的 TLS/SSL 证书,我们不允许在域名的第三、四个字符中再使用双连接号 (--),但可以在字母 xn 后面使用双连接号 (xn--example.com)。

1. 示例

是否允许?

es--xyz.loudsquid.com

www.es--xyz.loudsquid.com

xn--xyz.loudsquid.com

确定

xyz--loudsquid.com

确定