感謝銳成信息的投遞
然而,一些知名CA機構已經開始提出應對方案響應此次變化:
l Sectigo將從7月1日開始,新簽和重簽SSL證書不再使用OU字段信息,同時,Sectigo計劃在4月1日前提供一個可選方案,即為每個賬戶臨時開通“關閉”OU字段功能,以評估此次更改的影響力度。
l DigiCert宣布將從8月起刪除SSL證書中的OU字段。
OU字段到底是什麼?
當申請購買SSL證書時,需要提交證書籤名請求文件,即CSR文件,您可以在輸入框中填寫存儲在證書中的元數據,其中Organization Unit (OU)字段即所在部門或單位,如下圖:
(銳成CSR文件表單示例)
如果網站已安裝SSL證書,可點擊SSL證書詳情,查看OU字段,請看下圖示例:
(SSL證書的OU字段示例)
為什麼棄用OU字段?
此次變更其原因在於CA/B 論壇擔心該字段可能被濫用,因為它是一個缺乏實質性驗證要求的自由格式字段。這意味着任何人都可以隨意輸入信息。
其次OU字段不能進行身份驗證,它所包含的信息很雜,比如名稱,DBA,商品名,商標,地址或是其他涉及特定自然人或法人的文本。如果OU字段填寫不正確,或是被濫用,將可能導致證書驗證失敗等一系列問題。
基於此,CA/B論壇一致通過投票決定徹底取消不必要的OU字段,減少驗證過程中與OU字段相關的問題,防止公司名稱、商標、單位等其他信息的被他人濫用。