公用憑證 – 違反業界標準的資料條目

基本需求和 RFC 5280 違規

關於公開信任憑證,業界標準 (基本需求RFC 5280) 需要輸入的資料符合特定標準。訂購憑證時,違反這些標準會阻止 Certificate Authority (憑證授權單位,CA) 發行憑證。

違反組織單位值

DigiCert 正在取代組織單位 (OU) 欄位以簡化公用 SSL/TLS 憑證的訂購。如需更多有關 OU 欄位取代的資訊,請參閱我們的知識庫文章 DigiCert 將取代組織單位欄位

關於公開信任憑證,組織單位不是必填值 (欄位)。根據基本需求,提供值時,驗證組織單位值僅需要憑證授權單位 (CA)。如果您將此欄位留白 (不提供組織單位值),將指示 CA 不將欄位納入憑證。

基本需要也禁止此值顯示為 "junk" (垃圾) 資料,或協助將憑證保持更小的不適用 (不適用、? 等) 指示器。將憑證保留更小確保更大範圍的使用者和網站操作員仍可以存取 TLS。

以下清單包含一些字元,如果是他們自己在組織單位欄位中輸入不代表有效的組織單位值。

  • "-" (連字號)
  • " " (空格)
  • "。"(句點)
  • "?"(問號)
  • "na" (不適用)
  • "NA" (不適用)

如果您僅在組織單位欄位中放入連字號,CA 將無法驗證值。但如果您輸入其中有連字號的組織名稱 (例如 Dev-Ops),此連字號不會防止 CA 驗證您的組織單位值。

違反最大 64 字元限制

對於公開信任憑證,我們無法允許這些值 (輸入的資料) 超過最大 64 位元的限制,包括空格:

  • 一般名稱
    我們不允許一般名稱值超過 64 個字元的限制。但主體別名 (SAN) 值沒有和一般名稱值有一樣的字元長度限制。憑證訂單中包含的 SAN (例如在 Multi-Domain SSL 憑證訂單中) 可能大於 64 個字元。
  • 組織
    組織是否包含化名?而且,您正在計畫驗證該組織的延伸驗證 (EV) 憑證?
    然後,確定組織名稱 + 化名值未超過 64 個字元,包括空格。
  • 街道 1
  • 街道 2
  • 城市
  • 郵遞區號

違反使用底線

對於公開信任論書,我們再也不允許在以下各項目中使用底線 ( _ ):

  • 主體一般名稱
  • 主體別名 (SAN)

2018 年 10 月 1 日,我們僅能發行使用以下的網域和子網域的憑證:

  • 小寫字母 a–z
  • 大寫字母 A–Z
  • 數字 0–9
  • 特殊字元:句點 (.) 和連字號 (‐)

目前,您可以在其他憑證值中加入底線,例如組織單位和組織名稱。然而,使用這些值中的底線正在重新評估。業界標準可能改變,並且需要您移除那些值中的底線。

關於

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.