Važne izmene kod generisanja CSR-a prilikom poručivanja SSL sertifikata

Sertifikaciona tela (CA) su od 1. jula počela da odbacuju informacije o organizacionoj jedinici (OU – Organizational Unit) iz digitalnih sertifikata. To ukratko znači da kada pravite CSR (certificate signing request) za SSL, ovo polje, koje je do sada bilo obavezno, treba da izbacite.

Šta se menja kog generisanja CSR-a za SSL sertifikat?

Forum sertifikacionih autoriteta (CA/B Forum) je odlučio da CA više ne moraju da uključuju informacije o organizacionoj jedinici (OU) kada izdaju javno pouzdane SSL/TLS digitalne sertifikate. 

Do sada, proces naručivanja sertifikata je zahtevao od podnosilaca zahteva (npr naših klijenata koji žele komercijalan SSL) da daju informacije za polje organizacione jedinice (OU). Novina je CA/B odluka da od 1. septembra ovo polje više nije neophodno i da sva sertifikaciona tela (CA) više neće uključivati ove informacije u sertifikate koje izdaju.

Međutim, neka sertifikaciona tela su uvela ove promene pre roka — počevši od 1. jula 2022. Na primer, Sectigo je počeo sa ovom primenom baš od 1. jula, a DigiCert najavljuje promenu 24. avgusta. Neki dobavljači su promene uveli ranije i primenili na sva sertifikaciona tela, tako da više ne prihvataju CSR koji sadrži ove podatke.

To znači da CSR koji je napravljen sa ovim OU popunjenim poljem sada odbijaju i neophodno je da se napravi novi CSR. Ovde je najčešći problem kod obnova sertifikata gde je česta praksa da se koristi postojeći CSR. Dakle, za obnove će biti neophodno da se napravi novi CSR bez polja organizacione jedinice (OU).

Zašto je došlo do ove promene?

CA/B forum je bio zabrinut da bi ovo polje moglo biti zloupotrebljeno jer je “u slobodnoj formi” i za njega nedostaju suštinski zahtevi za verifikaciju (moglo je da se unese bukvalno šta god se želi). Polje OU je u praksi izazivalo probleme i usporavanje validacije sertifikata.

Da naglasimo, ova promena ne utiče na privatne korisnike i besplatne sertifikate (Let’s Encrypt i sl). Uklanjanje polja OU utiče samo na javno pouzdane SSL/TLS sertifikate.

Šta je OU polje?

Kada se pravi zahtev za potpisivanje sertifikata (CSR), kao deo procesa naručivanja tradicionalno postoji polje koje je “u slobodnoj formi” i u koje bi trebalo uneti metapodatke koje želite da sačuvate u svom sertifikatu. Na primer, u cPanelu je ovo polje označeno kao “Company Division”. 

Međutim, mnogi korisnici nisu znali koje informacije da unesu u ovo polje jer je, iskreno, termin prilično nejasan. Da li to znači vaše odeljenje? Sajt? Zaštitni znak? Nešto sasvim drugo? Kao što vidte, jasno je zašto bi moglo biti zbunjujuće. Kada se ovaj obrazac pogrešno popuni, to dovodi do niza problema koji usporavaju vreme validacije za kompanije koje naručuju sertifikate. 

Zašto sertifikaciona tela uklanjaju OU polje pre roka?

Zato što je CA/B forum izglasao da to urade u svom najnovijem izdanju SSL/TLS osnovnih zahteva. Postojala je zabrinutost da bi ovo polje moglo biti namerno ili nenamerno zloupotrebljeno i izazvati prekide validacije i druge probleme. Iako su ga neke kompanije pravilno koristile, često se koristilo pogrešno i postojala je opasnost da bi “loši momci” mogli da zloupotrebe OU polje u zlonamerne svrhe.

Kako će uklanjanje polja OU uticati na moju organizaciju?

Iskreno, ova promena nije potresna i neće uticati na većinu naših čitalaca. Ova promena će najviše uticati na klijente koji žele da koriste stari CSR za obnovu, jer to neće biti moguće i moraće da se pravi nov. Takođe, u manjoj meri će uticati na one klijente koji su to polje koristili ispravno i za nešto zaista prilagođeno (u većim kompanijama praćenje koje odeljenje koristi sertifikat). 

Za privatne korisnike i besplatne SSL sertifikate se ništa neće promeniti. 

Svi klijenti koji kod mClouda imaju zakupljen server ili hosting takođe ne treba da brinu, jer ceo proces naručivanja SSL sertifikata (od generisanja CSR-a, plaćanja, do instalacije SSL sertifikata) radimo mi.