Uitfasering OU-velden in Sectigo certificaten per 1 juli

26 januari 2022

Per 1 juli 2022 stopt Sectigo met het gebruik van de OU velden in haar certificaten. Deze wijziging komt voort uit een beleidswijziging van het CA/Browserforum, die het gebruik van het OU veld in haar richtlijnen per 1 september 2022 niet meer toestaat. 

Wat is het OU veld?

OU staat voor Organizational Unit, dit is een veld onder de Subject informatie in een SSL certificaat. Het Subject gedeelte van een certificaat bevat bij certificaten met bedrijfsgegevens (organisatie - en uitgebreide validatie) informatie over de organisatie waaraan het certificaat is uitgegeven. Hierin vind je naast een O-veld waarin de organisatienaam wordt opgegeven, onder andere een OU- veld. Dit veld is bedoeld voor het duiden van een bepaalde afdeling van die organisatie. 

Wat is de aanleiding?

Het CA/Browser (CA/B) Forum heeft onlangs de stemming SC47v2 aangenomen, waardoor OU-velden per 1 september 2022 tegen de richtlijnen ingaan. Het OU veld wordt vooral intern bij organisaties gebruikt voor bijvoorbeeld authenticatie. Hierdoor is voor een CA lastig deze waarden te controleren bij betrouwbare, externe bronnen – zoals dat wel van ze verwacht wordt. Om deze reden is in 2019 het toegestane gebruik van het OU-veld al beperkt naar alleen aan de organisatie-gerelateerde informatie. In de praktijk bleek dit echter lastig te controleren en te beoordelen. Door het veld te verwijderen, wordt dit probleem verholpen.

Wat is de impact?

Deze wijziging heeft gevolgen voor certificaten met bedrijfsgegevens:

• Uitgebreide Validatie (EV) en Organisatie Validatie (OV) SSL
• Standaard en EV-code signing certificaten

Gebruik van het OU-veld is optioneel; de meeste certificaten bevatten geen OU-informatie en de meeste ondernemingen hebben geen technische of procesvereisten gebaseerd op dit veld. Voor dergelijke use-cases en ondernemingen zou deze wijziging geen gevolgen moeten hebben.

Klanten die gebruik maken van het OU-veld moeten er rekening mee houden dat eventuele processen of systemen die afhankelijk zijn van informatie in het OU-veld, aangepast moeten worden. Bij sommige toepassingen wordt het OU-veld bijvoorbeeld gebruikt als te controleren waarde of identificerend kenmerk, zoals apps die communiceren met een server. Hiervoor zullen aanpassingen in de configuratie nodig zijn. 

Vanaf wanneer geldt dit precies?

Vooruitlopend op het feit dat het CA/B forum vanaf 1 september het gebruik van het OU-veld in nieuw uitgegeven certificaten niet meer toestaan, worden door Sectigo vanaf 1 juli 2022 bovengenoemde certificaten niet meer uitgegeven met een OU-veld. Reeds uitgegeven certificaten met OU-veld blijven gewoon geldig gedurende hun looptijd. Doe je na 1 juli een heruitgifte van een certificaat met OU-veld, zal deze heruitgegeven worden zonder OU-veld.

Heb je vragen? Neem dan even contact met ons op!