标签：弃用 证书 CA SSL 字段 2022 OU 数字证书

根据CA/B论坛最新规定：从2022年9月1日开始，所有CA颁发的可信SSL/TLS数字证书将不再使用OU字段。为遵循行业新规，提前应对SSL数字证书策略变更，Sectigo证书将从2022年7月1日弃用OU字段。

具体变更内容：

•  从7月1日开始，Sectigo不再签发含有OU字段信息的SSL数字证书，即变更生效后，新签和重签的企业级SSL证书（含EV SSL和OV SSL）、EV代码签名和OV代码签名证书将不再含有OU字段信息；
•  同时，Sectigo计划在4月1日前提供一个可选方案，即为每个账户临时开通“关闭”OU字段功能，以评估此次更改的影响力度。

OU字段到底是什么？

当申请购买SSL证书时，需要提交证书签名请求文件，即CSR文件，您可以在输入框中填写存储在证书中的元数据，其中Organization Unit (OU)字段即所在部门或单位，如下图：

（锐成CSR文件表单示例）

如果网站已安装SSL证书，可点击SSL证书详情，查看OU字段，请看下图示例：

（SSL证书的OU字段示例）

为什么弃用OU字段？

此次变更其原因在于CA/B 论坛担心该字段可能被滥用，因为它是一个缺乏实质性验证要求的自由格式字段。这意味着任何人都可以随意输入信息。

其次OU字段不能进行身份验证，它所包含的信息很杂，比如名称，DBA，商品名，商标，地址或是其他涉及特定自然人或法人的文本。如果OU字段填写不正确，或是被滥用，将可能导致证书验证失败等一系列问题。

弃用OU字段有哪些好处？

•  删除不必要的OU字段数据；
•  减少验证过程中与OU字段相关的问题；
•  防止公司名称、商标、单位等其他信息的被他人滥用。

此变更将影响哪些SSL数字证书？

此次更改主要影响第三方受信CA签发的扩展验证型和组织验证型 SSL / TLS证书，以及EV和OV代码签名证书。换句话说，自9月1日起，各大可信CA新签或重签的EV SSL，OV SSL证书以及EV代码签名证书和OV代码签名证书将不再包含OU字段，而Sectigo证书将提前从7月1日开始执行策略变更，DigiCert证书将在8月停止使用OU字段。

注意：先于生效日期前签发的SSL数字证书以及私有CA签发的证书不受此影响。

是否影响企业业务?

首先，绝大多数企业不会受此变化的影响！

大多数企业证书未使用OU字段，也没有依赖此字段内容构建相关技术或业务流程，对于这样的企业来说，此变更不会影响其业务运行。

然而，有一部分SSL数字证书确实使用了OU字段，而且企业可能基于OU字段的内容做了内置的技术需求，或者把它作为业务流程中有用的一部分，用于服务开通、服务部署和成本核算等。这些企业可能会受到从所有公共SSL证书中强制删除OU字段的影响。所以，Sectigo将于 4月1日前为这些企业提供一个可选方案，让每个账户可临时关闭OU字段，这样企业客户可以在真实环境中对“关闭OU字段”进行测试，以评估这一变化的影响，随后可选择 "恢复"；从而在CA/B开始强制执行新规前给企业客户留足调整其技术或流程的时间。

标签：弃用,证书,CA,SSL,字段,2022,OU,数字证书
来源： https://www.cnblogs.com/racent/p/15849734.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。