根据CA/B论坛最新规定：从2022年9月1日开始 ， 所有CA颁发的可信SSL/TLS数字证书将不再使用OU字段 。 为遵循行业新规 ， 提前应对SSL数字证书策略变更 ， Sectigo证书将从2022年7月1日弃用OU字段 。

文章图片

具体变更内容：

• 从7月1日开始 ， Sectigo不再签发含有OU字段信息的SSL数字证书 ， 即变更生效后 ， 新签和重签的企业级SSL证书（含EV SSL和OV SSL）、EV代码签名和OV代码签名证书将不再含有OU字段信息；
• 同时 ， Sectigo计划在4月1日前提供一个可选方案 ， 即为每个账户临时开通“关闭”OU字段功能 ， 以评估此次更改的影响力度 。

OU字段到底是什么？
当申请购买SSL证书时 ， 需要提交证书签名请求文件 ， 即CSR文件 ， 您可以在输入框中填写存储在证书中的元数据 ， 其中Organization Unit (OU)字段即所在部门或单位 ， 如下图：

文章图片
（锐成CSR文件表单示例）
如果网站已安装SSL证书 ， 可点击SSL证书详情 ， 查看OU字段 ， 请看下图示例：

文章图片
（SSL证书的OU字段示例）
为什么弃用OU字段？
此次变更其原因在于CA/B 论坛担心该字段可能被滥用 ， 因为它是一个缺乏实质性验证要求的自由格式字段 。 这意味着任何人都可以随意输入信息 。
其次OU字段不能进行身份验证 ， 它所包含的信息很杂 ， 比如名称 ， DBA ， 商品名 ， 商标 ， 地址或是其他涉及特定自然人或法人的文本 。 如果OU字段填写不正确 ， 或是被滥用 ， 将可能导致证书验证失败等一系列问题 。
弃用OU字段有哪些好处？

• 删除不必要的OU字段数据；
• 减少验证过程中与OU字段相关的问题；
• 防止公司名称、商标、单位等其他信息的被他人滥用 。

此变更将影响哪些SSL数字证书？
此次更改主要影响第三方受信CA签发的扩展验证型和组织验证型 SSL / TLS证书 ， 以及EV和OV代码签名证书 。 换句话说 ， 自9月1日起 ， 各大可信CA新签或重签的EV SSL ， OV SSL证书以及EV代码签名证书和OV代码签名证书将不再包含OU字段 ， 而Sectigo证书将提前从7月1日开始执行策略变更 ， DigiCert证书将在8月停止使用OU字段 。
注意：先于生效日期前签发的SSL数字证书以及私有CA签发的证书不受此影响 。
是否影响企业业务?
首先 ， 绝大多数企业不会受此变化的影响！
大多数企业证书未使用OU字段 ， 也没有依赖此字段内容构建相关技术或业务流程 ， 对于这样的企业来说 ， 此变更不会影响其业务运行 。
【自2022年7月1日起，Sectigo证书将弃用OU字段】然而 ， 有一部分SSL数字证书确实使用了OU字段 ， 而且企业可能基于OU字段的内容做了内置的技术需求 ， 或者把它作为业务流程中有用的一部分 ， 用于服务开通、服务部署和成本核算等 。 这些企业可能会受到从所有公共SSL证书中强制删除OU字段的影响 。所以 ， Sectigo将于 4月1日前为这些企业提供一个可选方案 ， 让每个账户可临时关闭OU字段 ， 这样企业客户可以在真实环境中对“关闭OU字段”进行测试 ， 以评估这一变化的影响 ， 随后可选择 "恢复"；从而在CA/B开始强制执行新规前给企业客户留足调整其技术或流程的时间 。