停用域名中的下划线

业内开始停止在公共 SSL 证书的域名中使用下划线

通过 CA/浏览器论坛投票 SC12:Sunset of Underscores in DNSNames,后,业内将停止在公共 SSL 证书的域名中使用下划线 ("_")。2019 年 1 月 14 日,含有下划线的现有 DigiCert 证书将被吊销。

该投票不影响私有 SSL 证书,也不影响其他类型的数字证书,例如,代码签名、客户端等。

投票 SC12 规定了停用下划线的一些重要日期,并且确立了一条重要规定,以帮助那些急需继续使用下划线一段时间的用户。2019 年 5 月 1 日,行业标准要求公共 SSL 证书不得继续保护具有下划线 ("_") 的域名。

规定:30 天下划线证书

在有限的期限内,允许 CA 颁发含有下划线 ("_") 的公共 SSL 证书。该规定旨在让您有更多时间找到永久性迁移解决方案。

但是,投票 SC12 中规定了特定的指南,以确保这些证书符合规范。

  • 域名中含有下划线且最长 30 天有效期的公共 SSL 证书。
  • 所有域名中含有下划线的公共 SSL 证书必须在 2019 年 4 月 1 日之前颁发。
  • 所有域名中含有下划线的公共 SSL 证书必须在 2019 年 4 月 31 日当天或之前到期。
  • 基域中不得含有下划线。
    允许使用 "example_domain.com"。
  • 最左侧域标签得含有下划线。
    允许使用 "_example.domain.com" 和 "example_domain.example.com"。

通配符证书备注:如果在最左侧域标签中含有下划线,则改为使用通配符证书。*.example.com 的通配符证书保护 example_domain.example.com 和 _example.domain.example.com。

对于时间线和特定日期信息:

下划线补救方案

首选解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。有关更多信息,请参阅在 FQDN 中禁止使用下划线