公共证书 - 违反行业标准的数据条目
基准要求和 RFC 5280 违规
对于公共信任的证书,行业标准(基准要求和 RFC 5280)要求数据条目符合特定标准。在订单证书时违反这些标准将导致证书颁发机构 (CA) 无法颁发证书。
组织单位值违规
重要
DigiCert 将弃用组织单位 (OU) 字段,以简化公共 SSL/TLS 证书的订购流程。有关弃用 OU 字段的更多信息,请参阅 DigiCert 将弃用组织单位字段。
对于公共信任的证书,组织单位值不是必需的值(字段)。
根据基准要求,只有当提供组织单位值时,才要求证书颁发机构 (CA) 验证组织单位值。如果您将此字段留空,即表示您指示 CA 不在证书中纳入此字段。
基准要求还禁止该值被当做(疑似)“垃圾”数据或非适用性指示符(不适用、? 等),以降低证书大小。控制证书的大小能确保更多的用户和网站运营商可访问 TLS。
下表中包含的字符如果由他们自己在组织单位值中输入,则不代表有效的组织单位值:
“-”(连字符)
“ ” (空格符)
“.”(句点)
“?”(问好)
“na”(不适用)
“NA”(不适用)
警告
如果您仅在组织单位值中输入连字符,CA 将无法验证该值。
但是,如果您输入的组织名称包括连字符(例如,Dev-Ops),CA 将仍然能够验证您的组织单位值。
64 个字符长度限制违规
对于公共信任的证书,我们不允许这些值(数据条目)超出 64 个字符的长度限制,包括空格:
公用名
我们不允许公用名值超出 64 个字符长度限制。但是,使用者可选名称 (SAN) 值不和公用名值适用相同的字符长度限制。证书订单(例如,多域 SSL 证书订单)中包括的 SAN 可以超过 64 个字符。
组织
组织是否包括假名?您是否计划验证该组织以获得扩展验证 (EV) 证书?确保组织名称 + 假名值不超过 64 个字符(包括空格)。
街道地址 1
街道地址 2
城市
州
邮政编码
使用下划线违规
对于公共信任的证书,我们不再允许在以下位置使用下划线 (_):
使用者公用名
使用者可选名称 (SAN)
我们只为使用以下字符的域和子域颁发证书:
小写字母 a-z
大写字母 A-Z
数字 0-9
特殊字符:句点(.) 和连字符 (-)
重要
目前,在其他证书值中可以包含下划线,例如,组织单位和组织名称。但是,我们正在重新评估是否允许在这些值中使用下划线。行业标准可能有变,并要求您也从这些值中删除下划线。
双连接号违规使用
证书颁发机构/浏览器 (CA/B) 论坛在第 202 号公告中明确要求 CA 不再颁发具有无效国际域名的公共 TLS/SSL 证书。
从 2021 年 10 月 1 日开始,对于公共信任的 TLS/SSL 证书,我们不允许在域名的第三、四个字符中再使用双连接号 (--),但可以在字母 xn 后面使用双连接号 (xn--example.com)。
域 | 是否允许? |
|---|---|
es--xyz.loudsquid.com | 否 |
www.es--xyz.loudsquid.com | 否 |
xn--xyz.loudsquid.com | 确定 |
xyz--loudsquid.com | 确定 |