行业新闻与博客

CA/B 论坛已决定，CA 在颁发公开信任的 SSL/TLS 数字证书时不再需要包含组织单位 (OU) 信息。让我们快速了解一下这对您在订购 SSL/TLS 证书时意味着什么（剧透警告：对于大多数用户来说，它不会改变任何东西）

有一些变化即将发生，通过消除混乱，订购证书的任务会变得更容易一些。传统上，证书订购过程要求请求者（即您）提供组织单位 (OU) 字段的信息。但是，从 9 月 1 日开始，CA/ 浏览器论坛 (CA/B Forum) 已决定不再需要此字段，并且所有公众信任的证书颁发机构 (CA) 将不再在其颁发的证书中包含此信息。

然而，一些 CA 正在积极主动地提前推出这些变化——最早从 7 月 1 日开始。但是为什么会发生这种变化，这对您的业务意味着什么？

让我们把它算出来。

简而言之，您需要知道什么

以下是您需要了解的所有内容的快速概览：

• 组织单位名称 (OU) 字段信息将不再包含在新的、更新的和重新颁发的 SSL/TLS 证书中。（仅当您的公司将该字段用于记录保存、差异化服务或其他此类活动时，此更改才会影响您。）
• 一些证书颁发机构已决定在 9 月 1 日截止日期之前推出其证书更改以避免任何问题：
  • Sectigo 将从 7 月 1 日开始从他们的证书中删除 OU 信息。他们将在 4 月 1 日之前提供一个临时选项，以“逐个帐户”停用 OU 字段。
  • DigiCert 将于 8 月从其证书中删除该字段。这将在月底之前的某个时间发生（他们没有比他们的信息发布更具体。）
• CA/B 论坛担心该字段可能被滥用，因为它是一个缺乏实质性验证要求的自由格式字段。（即，任何人都可以在那里输入几乎任何他们想要的东西。）
• OU 字段通过减慢证书验证而导致问题。
• 此更改不会影响私有 CA 证书用户。（此 OU 字段删除仅影响公开信任的 SSL/TLS 证书。）

如果这就是您要寻找的全部内容，请随时继续前进。但是，如果您是我们的新读者之一，或者您是整个 SSL/TLS 行业的新手，请不要担心。我们已经为您服务，并将回答您可能遇到的其他一些相关问题……

OU 字段到底是什么？

当您在证书订购过程中完成证书签名请求 (CSR) 时，通常会有一个自由格式字段，您可以在其中输入要存储在证书中的元数据。例如，在 cPanel 中，此字段被标记为“公司部门”。

然而，许多用户不知道在这个字段中输入什么信息，因为坦率地说，这个词非常模糊。是指你的部门吗？一个网站？商标？完全不同的东西？是的，你明白为什么它可能会令人困惑。

以下是 Wells Fargo 的 SSL/TLS 证书中的 OU 字段示例：

你知道 DCG-PSG 代表什么吗？我们也没有（至少，不是没有转向谷歌看看会发生什么）。这就是我们的观点。OU 字段的预期用途的范围实际上非常有限，并且要求它不能“误导”。但是，谁会检查这些信息以及如何验证信息？当此表格填写不正确时，会导致一系列问题，这些问题会拖累订购证书的公司的验证时间。这将我们带到了下一个话题……

为什么 CA 删除组织单位字段被删除？

快速回答：因为 CA/B 论坛在最新版本的SSL/TLS 基线要求 (1.8.1 ) 中告诉他们这样做。令人担忧的是，该字段可能会被有意或无意误用，并导致验证挂断和其他问题。

长答案：基本上，CA/B 论坛是行业的投票机构，由 Google、Apple、DigiCert 和 Sectigo 等重量级人物组成。去年秋天，论坛成员通过电子邮件讨论了 OU 字段的使用以及它是有利还是不利。虽然一些公司正确使用它，但令人担忧的是，该字段经常被错误地使用，并且坏人可能会出于不良目的滥用 OU 字段。

2021 年 12 月，该小组投票决定完全从证书中弃用organizationsUnitName 字段。这将从 9 月 1 日开始生效（尽管 CA 正在其站点上提前实施更改。）

根据第 7.1.4.2.2 节：

“证书字段：主题：组织单位名称（OID：2.5.4.11）必需 / 可选：已弃用。如果没有 subject:organizationName 或证书在 2022 年 9 月 1 日或之后颁发，则禁止 。内容： CA 应实施一个流程，以防止 OU 属性包含名称、DBA、商品名、商标、地址、位置或其他涉及特定自然人或法人实体的文本，除非 CA 已根据第 3.2 节验证了此信息，并且证书还包含主题：组织名称、主题：给定名称，第 8 页。80 个 subject:surname、subject:localityName 和 subject:countryName 属性，也根据第 3.2.2.1 节进行验证。”

快速总结一下，删除 OU 字段背后的想法是：

• 消除不必要的数据。
• 通过消除高度特定的字段来缓解验证过程中与 OU 相关的问题。
• 防止对公司名称、商标、商号、地址或其他信息的不准确归属或故意滥用。

删除 OU 字段将如何影响我的组织？

老实说，这种变化并不是惊天动地的，也不会影响我们的绝大多数读者。如果您一直在执行自定义操作（例如使用 OU 字段来跟踪哪个员工 / 部门颁发了证书），此更改可能只会影响您。但是，鉴于我们希望让您了解 CA/B 论坛中的变化，我们认为提前让您了解正在发生的变化是恰当的。

下面简要概述了删除 OU 字段将对公开信任的证书产生的影响：

• OU 字段将从所有证书颁发机构的证书订单中删除。
• 所有新的或重新颁发的公共信任 SSL/TLS 证书将不再包含 OU 信息。
• 预先存在的 SSL/TLS 证书（即在字段删除之前订购的证书）不会受到影响。

想知道这对私有 CA 证书用户意味着什么？一大堆什么都没有。基本上，这不会改变 99.9% 的用户。