根據(jù)CA/B論壇最新規(guī)定：從2022年9月1日開(kāi)始，所有CA頒發(fā)的可信SSL/TLS數(shù)字證書(shū)將不再使用OU字段。為遵循行業(yè)新規(guī)，提前應(yīng)對(duì)SSL數(shù)字證書(shū)策略變更，Sectigo證書(shū)將從2022年7月1日棄用OU字段。

具體變更內(nèi)容：

• 從7月1日開(kāi)始，Sectigo不再簽發(fā)含有OU字段信息的SSL數(shù)字證書(shū)，即變更生效后，新簽和重簽的企業(yè)級(jí)SSL證書(shū)（含EV SSL和OV SSL）、EV代碼簽名和OV代碼簽名證書(shū)將不再含有OU字段信息；
• 同時(shí)，Sectigo計(jì)劃在4月1日前提供一個(gè)可選方案，即為每個(gè)賬戶(hù)臨時(shí)開(kāi)通“關(guān)閉”OU字段功能，以評(píng)估此次更改的影響力度。

OU字段到底是什么？

當(dāng)申請(qǐng)購(gòu)買(mǎi)SSL證書(shū)時(shí)，需要提交證書(shū)簽名請(qǐng)求文件，即CSR文件，您可以在輸入框中填寫(xiě)存儲(chǔ)在證書(shū)中的元數(shù)據(jù)，其中Organization Unit (OU)字段即所在部門(mén)或單位，如下圖：

（銳成CSR文件表單示例）

如果網(wǎng)站已安裝SSL證書(shū)，可點(diǎn)擊SSL證書(shū)詳情，查看OU字段，請(qǐng)看下圖示例：

（SSL證書(shū)的OU字段示例） 

為什么棄用OU字段？

此次變更其原因在于CA/B 論壇擔(dān)心該字段可能被濫用，因?yàn)樗且粋€(gè)缺乏實(shí)質(zhì)性驗(yàn)證要求的自由格式字段。這意味著任何人都可以隨意輸入信息。

其次OU字段不能進(jìn)行身份驗(yàn)證，它所包含的信息很雜，比如名稱(chēng)，DBA，商品名，商標(biāo)，地址或是其他涉及特定自然人或法人的文本。如果OU字段填寫(xiě)不正確，或是被濫用，將可能導(dǎo)致證書(shū)驗(yàn)證失敗等一系列問(wèn)題。

棄用OU字段有哪些好處？

• 刪除不必要的OU字段數(shù)據(jù)；
• 減少驗(yàn)證過(guò)程中與OU字段相關(guān)的問(wèn)題；
• 防止公司名稱(chēng)、商標(biāo)、單位等其他信息的被他人濫用。

此變更將影響哪些SSL數(shù)字證書(shū)？

此次更改主要影響第三方受信CA簽發(fā)的擴(kuò)展驗(yàn)證型和組織驗(yàn)證型 SSL / TLS證書(shū)，以及EV和OV代碼簽名證書(shū)。換句話說(shuō)，自9月1日起，各大可信CA新簽或重簽的EV SSL，OV SSL證書(shū)以及EV代碼簽名證書(shū)和OV代碼簽名證書(shū)將不再包含OU字段，而Sectigo證書(shū)將提前從7月1日開(kāi)始執(zhí)行策略變更，DigiCert證書(shū)將在8月停止使用OU字段。
注意：先于生效日期前簽發(fā)的SSL數(shù)字證書(shū)以及私有CA簽發(fā)的證書(shū)不受此影響。

是否影響企業(yè)業(yè)務(wù)?

 首先，絕大多數(shù)企業(yè)不會(huì)受此變化的影響！

大多數(shù)企業(yè)證書(shū)未使用OU字段，也沒(méi)有依賴(lài)此字段內(nèi)容構(gòu)建相關(guān)技術(shù)或業(yè)務(wù)流程，對(duì)于這樣的企業(yè)來(lái)說(shuō)，此變更不會(huì)影響其業(yè)務(wù)運(yùn)行。

然而，有一部分SSL數(shù)字證書(shū)確實(shí)使用了OU字段，而且企業(yè)可能基于OU字段的內(nèi)容做了內(nèi)置的技術(shù)需求，或者把它作為業(yè)務(wù)流程中有用的一部分，用于服務(wù)開(kāi)通、服務(wù)部署和成本核算等。這些企業(yè)可能會(huì)受到從所有公共SSL證書(shū)中強(qiáng)制刪除OU字段的影響。 所以，Sectigo將于 4月1日前為這些企業(yè)提供一個(gè)可選方案，讓每個(gè)賬戶(hù)可臨時(shí)關(guān)閉OU字段，這樣企業(yè)客戶(hù)可以在真實(shí)環(huán)境中對(duì)“關(guān)閉OU字段”進(jìn)行測(cè)試，以評(píng)估這一變化的影響，隨后可選擇 "恢復(fù)"；從而在CA/B開(kāi)始強(qiáng)制執(zhí)行新規(guī)前給企業(yè)客戶(hù)留足調(diào)整其技術(shù)或流程的時(shí)間。