共计 1285 个字符,预计需要花费 4 分钟才能阅读完成。
依据 CA/ B 论坛最新规定:从 2022 年 9 月 1 日开始,所有 CA 颁发的可信 SSL/TLS 数字证书将不再应用 OU 字段。为遵循行业新规,提前应答 SSL 数字证书策略变更,Sectigo 证书将从 2022 年 7 月 1 日弃用 OU 字段。
具体变更内容:
- 从 7 月 1 日开始,Sectigo 不再签发含有 OU 字段信息的 SSL 数字证书,即变更失效后,新签和重签的企业级 SSL 证书(含 EV SSL 和 OV SSL)、EV 代码签名和 OV 代码签名证书将不再含有 OU 字段信息;
- 同时,Sectigo 打算在 4 月 1 日前提供一个可选计划,即为每个账户长期开明“敞开”OU 字段性能,以评估此次更改的影响力度。
OU 字段到底是什么?
当申请购买 SSL 证书时,须要提交证书签名申请文件,即 CSR 文件,您能够在输入框中填写存储在证书中的元数据,其中 Organization Unit (OU) 字段即所在部门或单位,如下图:
(锐成 CSR 文件表单示例)
如果网站已装置 SSL 证书,可点击 SSL 证书详情,查看 OU 字段,请看下图示例:
(SSL 证书的 OU 字段示例)
为什么弃用 OU 字段?
此次变更其起因在于 CA/B 论坛放心该字段可能被滥用,因为它是一个不足实质性验证要求的自在格局字段。这意味着任何人都能够随便输出信息。
其次 OU 字段不能进行身份验证,它所蕴含的信息很杂,比方名称,DBA,商品名,商标,地址或是其余波及特定自然人或法人的文本。如果 OU 字段填写不正确,或是被滥用,将可能导致证书验证失败等一系列问题。
弃用 OU 字段有哪些益处?
- 删除不必要的 OU 字段数据;
- 缩小验证过程中与 OU 字段相干的问题;
- 避免公司名称、商标、单位等其余信息的被别人滥用。
此变更将影响哪些 SSL 数字证书?
此次更改次要影响第三方受信 CA 签发的扩大验证型和组织验证型 SSL / TLS 证书,以及 EV 和 OV 代码签名证书。换句话说,自 9 月 1 日起,各大可信 CA 新签或重签的 EV SSL,OV SSL 证书以及 EV 代码签名证书和 OV 代码签名证书将不再蕴含 OU 字段,而 Sectigo 证书将提前从 7 月 1 日开始执行策略变更,DigiCert 证书将在 8 月停止使用 OU 字段。
留神:先于失效日期前签发的 SSL 数字证书以及公有 CA 签发的证书不受此影响。
是否影响企业业务?
首先,绝大多数企业不会受此变动的影响!
大多数企业证书未应用 OU 字段,也没有依赖此字段内容构建相干技术或业务流程,对于这样的企业来说,此变更不会影响其业务运行。
然而,有一部分 SSL 数字证书的确应用了 OU 字段,而且企业可能基于 OU 字段的内容做了内置的技术需要,或者把它作为业务流程中有用的一部分,用于服务开明、服务部署和成本核算等。这些企业可能会受到从所有公共 SSL 证书中强制删除 OU 字段的影响。
所以,Sectigo 将于 4 月 1 日前为这些企业提供一个可选计划,让每个账户可长期敞开 OU 字段,这样企业客户能够在实在环境中对“敞开 OU 字段”进行测试,以评估这一变动的影响,随后可抉择 “ 复原 ”;从而在 CA/ B 开始强制执行新规前给企业客户留足调整其技术或流程的工夫。
起源锐成信息,转载请注明原文地址:https://www.racent.com/blog/o…
