行业新闻与博客

CA 从 2022 年 7 月 1 日起弃用数字证书中的 OU 信息

CA/B 论坛已决定,CA 在颁发公开信任的 SSL/TLS 数字证书时不再需要包含组织单位 (OU) 信息。让我们快速了解一下这对您在订购 SSL/TLS 证书时意味着什么(剧透警告:对于大多数用户来说,它不会改变任何东西)

有一些变化即将发生,通过消除混乱,订购证书的任务会变得更容易一些。传统上,证书订购过程要求请求者(即您)提供组织单位 (OU) 字段的信息。但是,从 9 月 1 日开始,CA/ 浏览器论坛 (CA/B Forum) 已决定不再需要此字段,并且所有公众信任的证书颁发机构 (CA) 将不再在其颁发的证书中包含此信息。

然而,一些 CA 正在积极主动地提前推出这些变化——最早从 7 月 1 日开始。但是为什么会发生这种变化,这对您的业务意味着什么?

让我们把它算出来。

简而言之,您需要知道什么

以下是您需要了解的所有内容的快速概览:

  • 组织单位名称 (OU) 字段信息将不再包含在新的、更新的和重新颁发的 SSL/TLS 证书中。(仅当您的公司将该字段用于记录保存、差异化服务或其他此类活动时,此更改才会影响您。)
  • 一些证书颁发机构已决定在 9 月 1 日截止日期之前推出其证书更改以避免任何问题:
    • Sectigo 将从 7 月 1 日开始从他们的证书中删除 OU 信息。他们将在 4 月 1 日之前提供一个临时选项,以“逐个帐户”停用 OU 字段。
    • DigiCert 将于 8 月从其证书中删除该字段。这将在月底之前的某个时间发生(他们没有比他们的信息发布更具体。)
  • CA/B 论坛担心该字段可能被滥用,因为它是一个缺乏实质性验证要求的自由格式字段。(即,任何人都可以在那里输入几乎任何他们想要的东西。)
  • OU 字段通过减慢证书验证而导致问题。
  • 此更改不会影响私有 CA 证书用户。(此 OU 字段删除仅影响公开信任的 SSL/TLS 证书。)

如果这就是您要寻找的全部内容,请随时继续前进。但是,如果您是我们的新读者之一,或者您是整个 SSL/TLS 行业的新手,请不要担心。我们已经为您服务,并将回答您可能遇到的其他一些相关问题……

OU 字段到底是什么?

当您在证书订购过程中完成证书签名请求 (CSR) 时,通常会有一个自由格式字段,您可以在其中输入要存储在证书中的元数据。例如,在 cPanel 中,此字段被标记为“公司部门”。

包含 “公司部门” 字段的 cPanel CSR 表单的屏幕截图,该字段将 OU 信息添加到已颁发的 SSL/TSL 证书。
cPanel 的证书签名申请表中包含的自由格式字段的屏幕截图。

然而,许多用户不知道在这个字段中输入什么信息,因为坦率地说,这个词非常模糊。是指你的部门吗?一个网站?商标?完全不同的东西?是的,你明白为什么它可能会令人困惑。

以下是 Wells Fargo 的 SSL/TLS 证书中的 OU 字段示例:

富国银行官方网站的主题信息屏幕截图,其中包括 OU 数据。
Wellsfargo.com SSL/TLS 证书主题信息的屏幕截图(即,有关颁发证书的公司的信息)。

你知道 DCG-PSG 代表什么吗?我们也没有(至少,不是没有转向谷歌看看会发生什么)。这就是我们的观点。OU 字段的预期用途的范围实际上非常有限,并且要求它不能“误导”。但是,谁会检查这些信息以及如何验证信息?当此表格填写不正确时,会导致一系列问题,这些问题会拖累订购证书的公司的验证时间。这将我们带到了下一个话题……

为什么 CA 删除组织单位字段被删除?

快速回答:因为 CA/B 论坛在最新版本的SSL/TLS 基线要求 (1.8.1 ) 中告诉他们这样做。令人担忧的是,该字段可能会被有意或无意误用,并导致验证挂断和其他问题。

长答案:基本上,CA/B 论坛是行业的投票机构,由 Google、Apple、DigiCert 和 Sectigo 等重量级人物组成。去年秋天,论坛成员通过电子邮件讨论了 OU 字段的使用以及它是有利还是不利。虽然一些公司正确使用它,但令人担忧的是,该字段经常被错误地使用,并且坏人可能会出于不良目的滥用 OU 字段。

2021 年 12 月,该小组投票决定完全从证书中弃用organizationsUnitName 字段。这将从 9 月 1 日开始生效(尽管 CA 正在其站点上提前实施更改。)

CA/B 论坛的基线要求 1.8.1 中的表格屏幕截图。
来源:CA/B 论坛基线要求 1.8.1(第 17 页)。

根据第 7.1.4.2.2 节:

证书字段:主题:组织单位名称(OID:2.5.4.11)必需 / 可选:已弃用。如果没有 subject:organizationName 或证书在 2022 年 9 月 1 日或之后颁发,则禁止 。内容: CA 应实施一个流程,以防止 OU 属性包含名称、DBA、商品名、商标、地址、位置或其他涉及特定自然人或法人实体的文本,除非 CA 已根据第 3.2 节验证了此信息,并且证书还包含主题:组织名称、主题:给定名称,第 8 页。80 个 subject:surname、subject:localityName 和 subject:countryName 属性,也根据第 3.2.2.1 节进行验证。”

快速总结一下,删除 OU 字段背后的想法是:

  • 消除不必要的数据。
  • 通过消除高度特定的字段来缓解验证过程中与 OU 相关的问题。
  • 防止对公司名称、商标、商号、地址或其他信息的不准确归属或故意滥用。

删除 OU 字段将如何影响我的组织?

老实说,这种变化并不是惊天动地的,也不会影响我们的绝大多数读者。如果您一直在执行自定义操作(例如使用 OU 字段来跟踪哪个员工 / 部门颁发了证书),此更改可能只会影响您。但是,鉴于我们希望让您了解 CA/B 论坛中的变化,我们认为提前让您了解正在发生的变化是恰当的。

下面简要概述了删除 OU 字段将对公开信任的证书产生的影响:

  • OU 字段将从所有证书颁发机构的证书订单中删除。
  • 所有新的或重新颁发的公共信任 SSL/TLS 证书将不再包含 OU 信息。
  • 预先存在的 SSL/TLS 证书(即在字段删除之前订购的证书)不会受到影响。

想知道这对私有 CA 证书用户意味着什么?一大堆什么都没有。基本上,这不会改变 99.9% 的用户。

需要帮助吗?联系我们的支持团队 在线客服