CA /B论坛最近通过了SC47v2投票,决定从2022年9月1日开始,所有CA颁发的可信SSL/TLS数字证书不再使用OU字段。Sectigo,DigiCert等知名CA纷纷做出SSL数字证书策略变更相应此次变化。 然而,一些知名CA机构已经开始提出应对方案响应此次变化: l Sectigo将从7月1日开始,新签和重签SSL证书不再使用OU字段信息,同时,Sectigo计划在4月1日前提供一个可选方案,即为每个账户临时开通“关闭”OU字段功能,以评估此次更改的影响力度。 l DigiCert宣布将从8月起删除SSL证书中的OU字段。 OU字段到底是什么? 当申请购买SSL证书时,需要提交证书签名请求文件,即CSR文件,您可以在输入框中填写存储在证书中的元数据,其中Organization Unit (OU)字段即所在部门或单位,如下图: (锐成CSR文件表单示例) 如果网站已安装SSL证书,可点击SSL证书详情,查看OU字段,请看下图示例: (SSL证书的OU字段示例) 为什么弃用OU字段? 此次变更其原因在于CA/B 论坛担心该字段可能被滥用,因为它是一个缺乏实质性验证要求的自由格式字段。这意味着任何人都可以随意输入信息。 其次OU字段不能进行身份验证,它所包含的信息很杂,比如名称,DBA,商品名,商标,地址或是其他涉及特定自然人或法人的文本。如果OU字段填写不正确,或是被滥用,将可能导致证书验证失败等一系列问题。 基于此,CA/B论坛一致通过投票决定彻底取消不必要的OU字段,减少验证过程中与OU字段相关的问题,防止公司名称、商标、单位等其他信息的被他人滥用。
