Organizational Unit (OU), czyli Jednostka Organizacyjna to jedno z pól z podmiotu certyfikatów TLS (SSL), które chyba bardziej przeszkadza niż pomaga. Od 2022-09-01 jego używanie będzie zabronione we wszystkich certyfikatach TLS wydawanych przez publiczne Urzędy Certyfikacji (Certification Authority – CA)
CAs MUST NOT include the organizationalUnitName field in the Subject
Dlaczego wycofano OU?
Każde pole które trafia do podmiotu certyfikatu TLS musi zostać zweryfikowane przez urząd certyfikacji przed jego wydaniem. O ile większość tych pól (Nazwa Organizacji, Miasto, Kraj) da się w stosunkowo prosty sposób zweryfikować to z OU był problem. Wartość pola OU w Baseline Requirements for the Issuance and Management of Publicly‐Trusted Certificates v1.8.4 definiowana jest jako:
The CA SHALL implement a process that prevents an OU attribute from including a name, DBA, tradename, trademark, address, location, or other text that refers to a specific natural person or Legal Entity unless the CA has verified this information in accordance with Section 3.2 and the Certificate also contains subject:organizationName, subject:givenName, subject:surname, subject:localityName, and subject:countryName attributes, also verified in accordance with Section 3.2.2.1.
Jak widać sama definicja skupiona jest bardziej na tym czym nie jest OU niż na tym czym jest. Najczęściej do pola OU trafiały wartośc reprezentujące nazwę wydzielonej części danej organizacji (np. Dział Infrastruktury IT) i to było jeszcze do przyjęcia. Nierzadko jednak w polu OU mogliśmy zobaczyć inne wartości, których nie rozumieliśmy lub które, co gorsza, wprowadzały w błąd.
Przyjmując nawet jednak, że pole OU to po prostu dział w firmie to weryfikacja tego pola też nastręczała problemów urzędom certyfikacji. Jednostka organizacyjna w firmie to podział wewnętrzny, potrafiący się zmienić nawet kilka razy w przeciągu kilku lat. W zasadzie nie istnieją też formalne dokumenty na podstawie których można taką jednostkę weryfikować. Sytuacja wyglądała więc tak, że wnioskujący wpisywali w to pole najróżniejsze rzeczy, a urzędy certyfikacji korzystając z najróżniejszych metod próbowały dociec czy taka jednostka w danej firmie funkcjonuje. Finalnie otrzymywaliśmy certyfikat z wartością, której chyba nikt do końca nie był pewny (konia z rzędem temu kto pracuje w korporacji i potrafi bez zawahania wyrecytować nazwę działu w którym pracuje :)) co mogło wprowadzać w błąd subskrybentów (odbiorów końcowych certyfikatów).
Skoro jesteśmy już przy subskrybentach. Pole OU nie jest raczej dla większości z nas informacją bez której nie będziemy mogli żyć. O ile ktoś w ogóle zwrócił uwagę na to pole to to czy widział tam Dział Bezpieczeństwa IT, Dział Infrastruktury IT czy Działa Utrzymania Systemów IT nie robiło mu raczej większej różnicy.
Podsumowując, wydaje się, że usunięcie OU z certyfikatów TLS to dobry pomysł i nikt nie będzie z tego powodu płakał. No chyba, że ktoś posiada jeszcze w aplikację działającą produkcyjnie dla której pole OU w certyfikacie to świętość i bez tego ani rusz :) Pomyślano jednak i o takich przypadkach poprzez wprowadzenie zmiany z dużą, ponad roczną, zakładką wejścia w życie.
Co jeszcze warto wiedzieć?
Jeszcze garść przydatnych informacji dotyczących usunięcia pola OU z certyfikatów TLS:
- Zmiana została przegłosowana w głosowaniu CA/Browser Forum SC47v2 . Dyskusję, która zapoczątkowała całą akcję można przeczytać tutaj.
- Zmiana dotyczy tylko certyfikatów TLS typu Organization Validation (EV) i Extended Validation (EV), bo tylko w tych certyfikatach TLS to pole występuje.
- Tym samym zmiana nie dotyczy certyfikatów TLS typu Domain Validation (DV), bo tam tego pola po prostu nie ma.
- Zmiana nie dotyczy innych rodzajów certyfikatów takich jak S/MIME, Code Signing czy Document Signing.
- Zmiana wchodzi w życie dla certyfikatów TLS z datą początku ważności (Not Before) 2022-09-01 00:00:00 i później.
- Zmiana nie dotyczy certyfikatów TLS wydanych przed 2022-09-01 00:00:00. Te będą mogły funkcjonować do końca swojego czasu ważności.
- Wiele urzędów certyfikacyjnych nie czekało do samego końca i zaczęło wycofywać się ze wsparcia dla OU wcześniej: