2021 年 07 月 20 日
証明書の OU(組織単位名)は非推奨へ、来年からは利用禁止に
OU(組織単位名)利用禁止の背景
パブリックなサーバー証明書の要件を定める業界団体 CA/Browser フォーラムにおいて、証明書のサブジェクトに含まれる「OU(組織単位名)」について見直しが行われた結果、2022 年 9 月 1 日以降に発行する証明書から利用禁止となることが、投票により可決しました。
なお、OU の利用禁止後も発行済みの証明書には影響がなく、継続してご利用いただけます。
これまで OU には、証明書の「O(組織名)」に関連する一般的な部署名等の値が許容されてきましたが、一方で証明書の O と関連がない不正な値での証明書発行のインシデントが報告されるなど、その利用や審査方法について議論されてきました。
しかし、OU を適切に審査する方法の確立には至らず、約 1 年の猶予期間をもち、2022 年 9 月 1 日以降に発行されるサーバー証明書についての OU の利用が禁止される結果となりました。
また、今夏に改訂が予定されている Baseline Requirements ※1 では、OU の利用禁止に先立ち、任意項目から非推奨へ変更されます。これを受け、サイバートラストでも OU の利用禁止とされる 2022 年 9 月に先行して 利用停止を検討しており、そのスケジュールや詳細については、別途ご案内の予定です。
※1 : CA/Browser フォーラムが定めるパブリックなサーバー証明書に関する基本要件
証明書情報のどこが変わる?
Chrome の場合
ブラウザの鍵マークをクリック → 証明書(有効)→「詳細」タブ内に証明書情報が表示されます。
サブジェクトをクリックするとサーバー名と証明書情報が表示されます。
OU 利用禁止後の証明書管理の代替方法は?
使用するサーバーや管理部署の識別のために OU を利用されている場合、代替方法として SureBoard、SureHandsOn の申請一覧に「ユーザー項目設定」をすることで、サーバー名や部署名など任意の項目を表示させることができます。
ユーザー項目の設定方法については、ブログ記事 証明書一覧にメモを付けるには をご覧ください。
