自2022年7月1日起，Sectigo證書將棄用OU欄位

根據CA/B論壇最新規定：從2022年9月1日開始，所有CA頒發的可信SSL/TLS數字證書將不再使用OU欄位。為遵循行業新規，提前應對SSL數字證書策略變更， Sectigo證書 將從2022年7月1日棄用OU欄位。

 

具體變更內容：

l 從7月1日開始，Sectigo不再簽發含有OU欄位資訊的 SSL數字證書 ，即變更生效後，新籤和重籤的企業級SSL證書（含EV SSL和OV SSL）、EV程式碼簽名和OV程式碼簽名證書將不再含有OU欄位資訊；

l 同時，Sectigo計劃在4月1日前提供一個可選方案，即為每個賬戶臨時開通“關閉”OU欄位功能，以評估此次更改的影響力度。

OU欄位到底是什麼？

當申請購買SSL證書時，需要提交證書籤名請求檔案，即CSR檔案，您可以在輸入框中填寫儲存在證書中的後設資料，其中Organization Unit (OU)欄位即所在部門或單位，如下圖：

（ 銳成CSR檔案表單示例 ）

如果網站已安裝SSL證書，可點選SSL證書詳情，檢視OU欄位，請看下圖示例：

 

（SSL證書的OU欄位示例）

 

為什麼棄用OU欄位？

此次變更其原因在於CA/B 論壇擔心該欄位可能被濫用，因為它是一個缺乏實質性驗證要求的自由格式欄位。這意味著任何人都可以隨意輸入資訊。

其次OU欄位不能進行身份驗證，它所包含的資訊很雜，比如名稱，DBA，商品名，商標，地址或是其他涉及特定自然人或法人的文字。如果OU欄位填寫不正確，或是被濫用，將可能導致證書驗證失敗等一系列問題。

棄用OU欄位有哪些好處？

l 刪除不必要的OU欄位資料；

l 減少驗證過程中與OU欄位相關的問題 ；

l 防止公司名稱、商標、單位等其他資訊的被他人濫用。

此變更將影響哪些SSL數字證書？

此次更改主要影響第三方受信CA簽發的擴充套件驗證型和組織驗證型 SSL / TLS證書，以及EV和OV程式碼簽名證書。換句話說，自9月1日起，各大可信CA新籤或重籤的EV SSL，OV SSL證書以及EV程式碼簽名證書和OV程式碼簽名證書將不再包含OU欄位，而Sectigo證書將提前從7月1日開始執行策略變更， DigiCert證書 將在8月停止使用OU欄位。

注意：先於生效日期前簽發的 SSL數字證書以及私有CA簽發的證書不受此影響。

是否影響企業業務?

首先，絕大多數企業不會受此變化的影響！

大多數企業證書未使用OU欄位，也沒有依賴此欄位內容構建相關技術或業務流程，對於這樣的企業來說，此變更不會影響其業務執行。

然而，有一部分SSL數字證書確實使用了OU欄位，而且企業可能基於OU欄位的內容做了內建的技術需求，或者把它作為業務流程中有用的一部分，用於服務開通、服務部署和成本核算等。這些企業可能會受到從所有公共SSL證書中強制刪除OU欄位的影響。所以，Sectigo將於 4月1日前為這些企業提供一個可選方案，讓每個賬戶可臨時關閉OU欄位，這樣企業客戶可以在真實環境中對“關閉OU欄位”進行測試，以評估這一變化的影響，隨後可選擇 "恢復"；從而在CA/B開始強制執行新規前給企業客戶留足調整其技術或流程的時間。