自 1994 年 Netscape 推出 SSL 以来,数字证书与整个网络一起发展壮大。 经过反复试验、创新和调整,SSL 证书不断完善,以满足最严格的安全需求。
将 SSL 有效期缩短为一年,取消 扩展验证证书上的绿色地址栏,这些只是 CA/Browser Forum 最近为应对网络威胁和提高数字加密的可预测性而实施的部分修改措施。 在证书颁发机构的世界里,变化是唯一的常态。
组织单位(OU)字段与 SSL 安全性并无直接联系,尤其是它从一开始就是 SSL 订购流程的一部分。 但现在,OU 领域的时代即将结束,CA 将在 2022 年 8 月底之前取消它。 那么,取消一个看似无害的领域背后的原因是什么呢? 为了全面了解情况,让我们来看看 OU 领域最初的目的是什么。
组织单位字段 – 简要概述
每次订购 SSL 证书时,都必须生成证书签名请求(CSR),并在验证过程中填写您的联系数据。 企业社会责任包括您的公司、居住国和您希望保护的域名的详细信息。 您必须填写的字段中还有组织单位字段。 你几乎可以在其中输入任何你想要的数据,而这正是它的模糊性和误导性所在。
OU 字段的初衷是作为一个占位符字段,公司可以在其中放置证书的相关数据以及证书的使用方式。 一种常见的做法是在账单中加入参考数据,以便财务部门知道谁购买了证书。
如果您要仿效这个例子,您可以在 OU 字段中写上 “IT “或 “安全 “等字样。但没有什么能阻止你输入任何你想输入的内容,从国名到卡通人物。如果你的公司总部在美国,但一个国际分支机构负责管理证书,你可以写 “法国 “或 “海外 “这样的字样。在这里,OU 文件的模糊性可能会让用户感到困惑。
假设贵公司的客户之一是达美航空公司。 如果把它包含在 OU 字段中,一些用户会认为证书属于达美航空公司,而不是你的组织。 虽然这似乎是一个极端的例子,但 OU 领域的可选性使其很容易被混淆和曲解,这在现代网络安全中是不可接受的。
潜在的安全漏洞
SSL 证书现已成为各类网站的必备条件。 公司部署了数以百计的证书来满足其安全需求,但并非每个人都遵循最佳 SSL 管理实践。 根据 Detectify Labs 报告 报告指出,部署这些证书存在危险,”可能导致公司数据被恶意行为者曝光或泄露”。
Detectify 已分析了 9 亿多个 SSL 证书,并强调了与 SSL 相关的主要风险。 就开放式大学领域而言,以下结论具有现实意义:
“分析人员发现,绝大多数新认证的域名都被赋予了描述性名称。这听起来似乎无害,但实际上可能是一种商业信息风险”。
如果证书是在开发阶段颁发的,那么竞争对手可能有足够的时间在新公司或新产品进入市场之前对其进行破坏。 但是,即使您选择的是随机字符串而不是描述性产品,在订购过程中提交的 OU 字段中的随机信息也有可能泄露您的一些秘密。
该说再见了
随着网络威胁与日俱增,CA 正在加班加点地调整和加强 SSL 证书的安全协议。 随着旧概念和旧元素的过时,”少即是多 “是消除混乱和黑客潜在漏洞的有效方法。
上世纪九十年代末和九十年代初,市场上只有少数几家 CA,申请 SSL 的公司数量也少得多。 其初衷是由浏览器对现有的少数几个 CA 进行人工检查,从而增强人们对 CA 正在尽可能安全地开展一切工作的信心。 但随着 SSL 证书的兴起,这项任务变得越来越困难。
OU 字段的问题在于,证书颁发机构必须在证书主题名称中验证和确认证书主体的身份。 另一方面,对 OU 领域的描述并不准确,尽管它是该组织的一个较小部分。 CA 没有办法对组织的较小部分进行持续验证,并确认其身份。
拆除 OU 后的生活
那么,取消 OU 领域会对企业产生什么影响呢? 以下是您需要了解的有关即将发生的变化的所有信息:
- 为符合行业标准,证书颁发机构将在 2022 年 8 月底之前删除所有公共 SSL 证书的组织单位 (OU) 字段。
- 这一更改不会影响以前签发的带有有效 OU 字段的证书。
- 这不会影响私人 SSL 证书或其他类型的非 SSL 证书。
结论
网络技术的发展日新月异,网络威胁也随之变得更加复杂。 说到网络加密,监管机构必须未雨绸缪,预测其监管系统中存在的漏洞。
组织单位字段不是整个 SSL 订购流程的关键部分,因此成为潜在威胁。 删除它是避免混淆和缩短验证时间的直接方法。
