CA / B-Forum Stimmzettel SC12: Sonnenuntergang der Unterstriche in dNSNames (genehmigt im November 2018) skizzierte einen Prozess zum Auslaufen der Verwendung von Unterstrichen (_) in Domainnamen, die durch digitale Zertifikate abgedeckt sind. Die Regeländerungen von Stimmzettel SC12 folgen RFC 1035, der die Zeichen angibt, die in DNS-Domänennamen verwendet werden dürfen:
Die Beschriftungen müssen den Regeln für ARPANET-Hostnamen entsprechen. Sie müssen mit einem Buchstaben beginnen, mit einem Buchstaben oder einer Ziffer enden und als innere Zeichen nur Buchstaben, Ziffern und Bindestriche enthalten.
Trotz der Tatsache, dass RFC 1035 keine Unterstriche in registrierten Domainnamen zulässt, wurden sie häufig in Subdomains verwendet (z sub_domain.example.com). In der Vergangenheit konnten öffentlich vertrauenswürdige Zertifizierungsstellen wie SSL.com Zertifikate ausstellen, die Subdomänen mit Unterstrichen abdecken. Stimmzettel SC12 schloss ein dreistufiges Verfahren zum Sonnenuntergang von Unterstrichen in Domainnamen ein:
Vor dem 1. April 2019 können Zertifikate mit Unterstrichen („_“) in Domänenbezeichnungen in dNSName-Einträgen wie folgt ausgestellt werden:
- dNSName-Einträge KÖNNEN Unterstriche enthalten, sodass das Ersetzen aller Unterstriche durch Bindestriche („-“) zu einer gültigen Domänenbezeichnung führen würde.
- Unterstriche dürfen NICHT in das Domain-Label ganz links gesetzt werden.
- Solche Zertifikate dürfen NICHT länger als 30 Tage gültig sein.
Alle Zertifikate, die in einem dNSName-Eintrag einen Unterstrich enthalten und eine Gültigkeitsdauer von mehr als 30 Tagen haben, MÜSSEN vor dem 15. Januar 2019 widerrufen werden.
Nach dem 30. April 2019 dürfen Unterstriche ("_") NICHT mehr in dNSName-Einträgen enthalten sein.
Aufgrund dieser Bestimmungen darf SSL.com kein SSL / ausgebenTLS Zertifikate für Domainnamen mit Unterstrichen. Für unsere Kunden mit Subdomains, die Unterstriche enthalten, aber ein SSL / benötigenTLS Zertifikat empfehlen wir folgende Lösungen:
- (Empfohlen) Ändern Sie nach Möglichkeit den Namen der Subdomain so, dass sie keine Unterstriche mehr enthält (z. B. Änderung)
sub_domain.example.comzusub-domain.example.com). - Wenn nur das Element ganz links im Domänennamen Unterstriche enthält, können Sie a verwenden Wildcard-Zertifikat. Zum Beispiel ein Zertifikat für
*.example.comkann zum Schutz verwendet werdensub_domain.example.com, Aber nichtlevel_three.sub_domain.example.com.
Wie immer, wenn Sie Fragen haben, kontaktieren Sie uns bitte per E-Mail unter Support@SSL.comtelefonisch unter 1-877-SSL-Secureoder über den Chat-Link unten rechts auf dieser Seite.
SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites.
