iida 曰く、
X.509 証明書の識別名の OU 属性 (organizationalUnitName: OID 2.5.4.11) の使用停止が CA/Browser Forum で決議された
(Ballot SC47v2: Sunset subject:organizationalUnitName、
Baseline Requirement 1.7.9版: PDF、
EV SSL 1.7.7版: PDF)。2022-09-01 以降に OU 属性のある識別名の証明書を発行してしまうと、証明機関が BR や EV に不適合になってしまい、対応するルート認証局がブラウザや OS などから信頼されなくなる危険性が高まる。ルート証明機関は下位の証明機関に BR や EV へ準拠するようはたらきかけるだろうから、現在 OU の有無や値を使って鍵や証明書を管理している TLS サーバー側の管理者や、それらで認証認可している (たいていは TLS クライアント側の) システムは、対応を迫られることになろう。
またもし 1 年モノの証明書を新規に発行してもらうばあいは、最初から OU なしで発行してもらうほうが更新が楽になろうから、ご検討いただきたい。
| セキュリティ
|
関連ストーリー:
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止
2020年08月01日
HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか
2019年11月11日
Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ
2019年08月13日
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介
2018年08月22日
上場企業やgo.jpドメインでもLet’s Encryptのサーバ証明書の利用が広がる
2018年06月07日
EV証明書を使用して既知の企業になりすませる可能性が指摘される
2017年12月16日
Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦
2017年05月05日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」
2017年02月25日