公用憑證 – 違反業界標準的資料條目

Baseline requirements and RFC 5280 Violations

關於公開的信任憑證,業界標準 (基本需求RFC 5280) 需要輸入的資料符合特定標準。訂購憑證時,違反這些標準會阻止 Certificate Authority (憑證授權單位,CA) 發行憑證。

違反組織單位值

關於公開信任的憑證,組織單位不是必填值 (欄位)。根據基本需求,提供值時,驗證組織單位值僅需要憑證授權單位 (CA)。如果您將此欄位留白 (不提供組織單位值),將指示 CA 不將欄位納入憑證。

基本需要也禁止此值顯示為 "junk" (垃圾) 資料,或協助將憑證保持更小的不適用 (不適用、? 等) 指示器。將憑證保留更小確保更大範圍的使用者和網站操作員仍可以存取 TLS。

以下清單包含一些字元,如果是他們自己在組織單位欄位中輸入不代表有效的組織單位值。

  • "-" (連字號)
  • " " (空格)
  • "."(句點)
  • "?"(問號)
  • "na" (不適用)
  • "NA" (不適用)

如果您僅在組織單位欄位中放入連字號,CA 將無法驗證值。但如果您輸入其中有連字號的組織名稱 (例如 Dev-Ops),此連字號不會防止 CA 驗證您的組織單位值。

違反最大 64 字元限制

對於公開信任的憑證,我們無法允許這些值 (輸入的資料) 超過最大 64 位元的限制,包括空格:

  • 一般名稱
    我們不允許一般名稱值超過 64 個字元的限制。但主體別名 (SAN) 值沒有和一般名稱值有一樣的字元長度限制。憑證訂單中包含的 SAN (例如在 Multi-Domain SSL 憑證訂單中) 可能大於 64 個字元。
  • 組織
    組織是否包含假名?而且,您正在計畫驗證該組織的延伸驗證 (EV) 憑證?
    然後,確定組織名稱 + 假名值未超過 64 個字元,包括空格。
  • 街道 1
  • 街道 2
  • 城市
  • 郵遞區號

違反使用底線

對於公開信任的論書,我們再也不允許在以下各項目中使用底線 ( _ ):

  • 主體一般名稱
  • 主體別名 (SAN)

2018 年 10 月 1 日,我們僅能發行使用以下的網域和子網域的憑證:

  • 小寫字母 a–z
  • 大寫字母 A–Z
  • 數字 0–9
  • 特殊字元:句點 (.) 和連字號 (‐)

目前,您可以在其他憑證值中加入底線,例如組織單位和組織名稱。然而,使用這些值中的底線正在重新評估。業界標準可能改變,並且需要您移除那些值中的底線。