域名中不允许使用下划线

CA / B论坛 投票SC12:dNSNames中下划线的日落 (于2018年XNUMX月批准)概述了逐步淘汰使用下划线字符的过程(_)中包含数字证书覆盖的域名。 投票SC12的规则更改如下 RFC 1035,它指定可在DNS域名中使用的字符:

标签必须遵循ARPANET主机名的规则。 它们必须以字母开头,以字母或数字结尾,并且只有字母,数字和连字符作为内部字符。

但是,尽管RFC 1035不允许在注册域名中使用下划线,但它们已在子域中得到广泛使用(例如, sub_domain.example.com)。 过去,诸如SSL.com之类的公共信任的证书颁发机构(CA)可能会发布带有下划线的覆盖子域的证书。 选票SC12 包括三个阶段的域名下划线取消处理:

在1年2019月XNUMX日之前,dNSName条目的域标签中包含下划线字符(“ _”)的证书可以按以下方式颁发:

  • dNSName条目可以包含下划线字符,以便用连字符(“-”)替换所有下划线字符将导致有效的域标签;并且;
  • 下划线字符不得放在最左侧的域标签中;并且;
  • 此类证书的有效期不得超过30天。

在任何dNSName条目中包含下划线字符且有效期超过30天的所有证书必须在15年2019月XNUMX日之前吊销。


在30年2019月XNUMX日之后,dNSName条目中绝不能出现下划线字符(“ _”)。

由于这些规定,SSL.com可能不会发布SSL /TLS 带下划线字符的域名证书。 对于拥有包含下划线但需要SSL /的子域的客户TLS 证书,我们建议以下解决方案:

  1. (推荐)如果可能,请更改子域的名称,使其不再包含下划线(例如,更改 sub_domain.example.comsub-domain.example.com).
  2. 如果仅域名最左边的元素包含下划线字符,则可以使用 通配符证书。 例如,针对 *.example.com 可以用来保护 sub_domain.example.com, 但不是 level_three.sub_domain.example.com.

与往常一样,如果您有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,通过电话 1-877-SSL-Secure,或使用此页面右下方的聊天链接。

SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。

比较SSL /TLS 证书

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。