CA/B Forum запретил использовать символы подчеркивания в записях dNSName

CA/B Forum, орган регулирования SSL-индустрии, запретил использовать символы подчеркивания («_») в любых записях dNSName. Соответствующее предложение (Ballot SC12) было принято и поддержано большинством голосов. 

Похожее заявление уже рассматривалось в 2017 году, однако тогда было отклонено, невзирая на то, что практика использования символа подчеркивания в SAN-полях типа dNSName противоречит требованиям RFC 5280.

Текущее предложение включает в себя формирование короткого переходного периода, в течение которого можно будет либо сменить доменное имя (FQDN), либо развернуть wildcard-сертификат.

Сроки внедрения предложения 

Согласно новым правилам, до 1 апреля 2019 выпуск сертификатов, содержащих символы подчеркивания («_») в метках доменов в записях dNSName, разрешен лишь при выполнении следующих требований:

• Символы подчеркивания не должны находиться на первой позиции слева в доменной метке;
  
• Сертификат выпускается только на срок, не превышающий 30 дней;
  
• Символы подчеркивания могут использоваться, но их лучше сменить на дефисы, чтобы получить доверенную доменную метку.
  

Все сертификаты, содержащие символ подчеркивания в любой dNSName-записи и имеющие срок действия, превышающий 30 дней, должны быть аннулированы до 15 января 2019 года.

Начиная с 30 апреля 2019 года, символы подчеркивания («_») не должны присутствовать в записях dNSName.

Подпишитесь на наши обновления, чтобы всегда быть в курсе последних событий в области SSL и онлайн-безопасности.