CA/B论坛新规：自2022年9月1日起SSL/TLS数字证书将弃用OU字段

蓝天二号

CA /B论坛最近通过了SC47v2投票，决定从2022年9月1日开始，所有CA颁发的可信SSL/TLS数字证书不再使用OU字段。Sectigo，DigiCert等知名CA纷纷做出SSL数字证书策略变更相应此次变化。
然而，一些知名CA机构已经开始提出应对方案响应此次变化：

l  Sectigo将从7月1日开始，新签和重签SSL证书不再使用OU字段信息，同时，Sectigo计划在4月1日前提供一个可选方案，即为每个账户临时开通“关闭”OU字段功能，以评估此次更改的影响力度。

l  DigiCert宣布将从8月起删除SSL证书中的OU字段。

OU字段到底是什么？

当申请购买SSL证书时，需要提交证书签名请求文件，即CSR文件，您可以在输入框中填写存储在证书中的元数据，其中Organization Unit (OU)字段即所在部门或单位，如下图：

（锐成CSR文件表单示例）

如果网站已安装SSL证书，可点击SSL证书详情，查看OU字段，请看下图示例：



（SSL证书的OU字段示例）

为什么弃用OU字段？

此次变更其原因在于CA/B 论坛担心该字段可能被滥用，因为它是一个缺乏实质性验证要求的自由格式字段。这意味着任何人都可以随意输入信息。

其次OU字段不能进行身份验证，它所包含的信息很杂，比如名称，DBA，商品名，商标，地址或是其他涉及特定自然人或法人的文本。如果OU字段填写不正确，或是被滥用，将可能导致证书验证失败等一系列问题。

基于此，CA/B论坛一致通过投票决定彻底取消不必要的OU字段，减少验证过程中与OU字段相关的问题，防止公司名称、商标、单位等其他信息的被他人滥用。