公用憑證 – 違反業界標準的資料條目

基本需求和 RFC 5280 違規

關於公開的信任憑證,業界標準 (基本需求RFC 5280) 需要輸入的資料符合特定標準。訂購憑證時,違反這些標準會阻止 Certificate Authority (憑證授權單位,CA) 發行憑證。

違反組織單位值

關於公開信任的憑證,組織單位不是必填值 (欄位)。根據基本需求,提供值時,驗證組織單位值僅需要憑證授權單位 (CA)。如果您將此欄位留白 (不提供組織單位值),將指示 CA 不將欄位納入憑證。

基本需要也禁止此值顯示為 "junk" (垃圾) 資料,或協助將憑證保持更小的不適用 (不適用、? 等) 指示器。將憑證保留更小確保更大範圍的使用者和網站操作員仍可以存取 TLS。

以下清單包含一些字元,如果是他們自己在組織單位欄位中輸入不代表有效的組織單位值。

  • "-" (連字號)
  • " " (空格)
  • "。"(句點)
  • "?"(問號)
  • "na" (不適用)
  • "NA" (不適用)

如果您僅在組織單位欄位中放入連字號,CA 將無法驗證值。但如果您輸入其中有連字號的組織名稱 (例如 Dev-Ops),此連字號不會防止 CA 驗證您的組織單位值。

違反最大 64 字元限制

對於公開信任的憑證,我們無法允許這些值 (輸入的資料) 超過最大 64 位元的限制,包括空格:

  • 一般名稱
    我們不允許一般名稱值超過 64 個字元的限制。但主體別名 (SAN) 值沒有和一般名稱值有一樣的字元長度限制。憑證訂單中包含的 SAN (例如在 Multi-Domain SSL 憑證訂單中) 可能大於 64 個字元。
  • 組織
    組織是否包含化名?而且,您正在計畫驗證該組織的延伸驗證 (EV) 憑證?
    然後,確定組織名稱 + 化名值未超過 64 個字元,包括空格。
  • 街道 1
  • 街道 2
  • 城市
  • 州/省
  • 郵遞編號

違反使用底線

對於公開信任的論書,我們再也不允許在以下各項目中使用底線 ( _ ):

  • 主體一般名稱
  • 主體別名 (SAN)

2018 年 10 月 1 日,我們僅能發行使用以下的網域和子網域的憑證:

  • 小寫字母 a–z
  • 大寫字母 A–Z
  • 數字 0–9
  • 特殊字元:句點 (.) 和連字號 (‐)

目前,您可以在其他憑證值中加入底線,例如組織單位和組織名稱。然而,使用這些值中的底線正在重新評估。業界標準可能改變,並且需要您移除那些值中的底線。