CA / B Forum Бюллетень SC12: Закат подчеркивания в dNSNames (утверждено в ноябре 2018 г.) описал процесс поэтапного отказа от использования символов подчеркивания (_
) в доменных именах, на которые распространяются цифровые сертификаты. Изменения правил бюллетеня SC12 следуют RFC 1035, который определяет символы, которые могут использоваться в доменных именах DNS:
Этикетки должны соответствовать правилам для имен хостов ARPANET. Они должны начинаться с буквы, заканчиваться буквой или цифрой, а в качестве внутренних символов должны быть только буквы, цифры и дефис.
Однако, несмотря на то, что RFC 1035 не допускает подчеркивания в зарегистрированных доменных именах, они широко используются в поддоменах (например, sub_domain.example.com
). В прошлом публично доверенные центры сертификации (ЦС), такие как SSL.com, могли выдавать сертификаты, покрывающие поддомены с подчеркиванием. Бюллетень SC12 включал трехэтапный процесс отмены подчеркивания в доменных именах:
До 1 апреля 2019 г. сертификаты, содержащие символы подчеркивания («_») в метках домена в записях dNSName, МОГУТ быть выданы следующим образом:
- Записи dNSName МОГУТ включать символы подчеркивания, так что замена всех символов подчеркивания на символы дефиса («-») приведет к правильной метке домена, и;
- Символы подчеркивания НЕ ДОЛЖНЫ размещаться в самой левой метке домена, и;
- Такие сертификаты НЕ ДОЛЖНЫ быть действительны более 30 дней.
Все сертификаты, содержащие символ подчеркивания в любой записи dNSName и имеющие срок действия более 30 дней, ДОЛЖНЫ быть отозваны до 15 января 2019 г.
После 30 апреля 2019 г. символы подчеркивания («_») НЕ ДОЛЖНЫ присутствовать в записях dNSName.
В соответствии с этими условиями SSL.com не может выдавать SSL /TLS сертификаты для доменных имен с символами подчеркивания. Для наших клиентов с субдоменами, содержащими символы подчеркивания, но требующими SSL /TLS сертификат, предлагаем следующие решения:
- (Рекомендуется) Если возможно, измените имя субдомена так, чтобы оно больше не содержало подчеркивания (например, измените
sub_domain.example.com
вsub-domain.example.com
). - Если только крайний левый элемент имени домена содержит символы подчеркивания, вы можете использовать сертификат подстановочного знака. Например, сертификат на
*.example.com
может использоваться для защитыsub_domain.example.com
, Но неlevel_three.sub_domain.example.com
.
Как всегда, если у вас возникнут вопросы, свяжитесь с нами по электронной почте по адресу Support@SSL.com, по телефону 1-877-SSL-Secure, или используя ссылку чата в правом нижнем углу этой страницы.
SSL.com предоставляет широкий выбор SSL /TLS сертификаты сервера для сайтов HTTPS.