CertCentral to issue GeoTrust and RapidSSL DV certificates from new intermediate CA certificates
On May 24, 2022, between 9:00 am and 11:00 am MDT (3:00 pm and 5:00 pm UTC), DigiCert will replace the GeoTrust and RapidSSL intermediate CA (ICA) certificates listed below. We can no longer issue maximum validity (397-day) DV certificates from these intermediates.
Old ICA certificates
New ICA certificates
See the DigiCert ICA Update KB article.
How does this affect me?
Rolling out new ICA certificates does not affect your existing DV certificates. Active certificates issued from the replaced ICA certificates will remain trusted until they expire.
However, all new certificates, including certificate reissues, will be issued from the new ICA certificates. To ensure ICA certificate replacements go unnoticed, always include the provided ICA certificate with every TLS certificate you install.
No action is required unless you do any of the following:
Action required
If you practice pinning, hard code acceptance, or operate a trust store, update your environment as soon as possible. You should stop pinning and hard coding ICA certificates or make the necessary changes to ensure your GeoTrust DV and RapidSSL DV certificates issued from the new ICA certificates are trusted. In other words, make sure they can chain up to their new ICA certificate and trusted root.
See the DigiCert Trusted Root Authority Certificates page to download copies of the new Intermediate CA certificates.
What if I need more time?
If you need more time to update your environment, you can continue to use the old 2020 ICA certificates until they expire. Contact DigiCert Support, and they can set that up for your account. However, after May 31, 2022, RapidSSL DV and GeoTrust DV certificates issued from the 2020 ICA certificates will be truncated to less than one year.
Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)
To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.
To learn more about the industry change, see Domain validation policy changes in 2021.
How does this affect me?
As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:
To learn more about the supported DCV method for DV, OV, and EV certificate requests:
CertCentral: Pending certificate requests and domain prevalidation using file-based DCV
Pending certificate request
If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.
*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.
To learn more about the supported DCV methods for DV, OV, and EV certificate requests:
Domain prevalidation
If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.
To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.
CertCentral Services API
If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).
Upcoming Schedule Maintenance
DigiCert will perform scheduled maintenance on November 6, 2021, between 22:00 – 24:00 MDT (November 7, 2021, between 04:00 – 06:00 UTC).
CertCentral infrastructure-related maintenance downtime
We will start this infrastructure-related maintenance between 22:00 and 22:10 MDT (04:00 and 04:10 UTC). Then, for approximately 30 minutes, the following services will be down:
DV certificate issuance for CertCentral, ACME, and ACME agent automation
CIS and SCEP
QuoVadis TrustLink certificate issuance
This maintenance only affects DV certificate issuance, CIS, SCEP, and TrustLink certificate issuance. It does not affect any other DigiCert platforms or services .
PKI Platform 8 maintenance
We will start the PKI Platform 8 maintenance at 22:00 MDT (04:00 UTC). Then, for approximately 30 minutes, the PKI Platform 8 will experience service delays and performance degradation that affect:
Additionally:
The PKI Platform 8 maintenance only affects PKI Platform 8. It does not affect any other DigiCert platforms or services.
Plan accordingly:
Services will be restored as soon as we complete the maintenance.
CertCentral Services API: Auto-reissue support for Multi-year Plans
We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.
You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.
Enable auto-reissue for a new order
To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue
.
By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue
parameter to 1
in the body of your request.
Example request body:
Note: In new order requests, we ignore the auto_reissue
parameter if:
Update auto-reissue setting for existing orders
To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.
Get auto-reissue setting for an existing order
To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue
. The auto_reissue
parameter returns the current auto-reissue setting for the order.
ICA certificate chain selection for public DV flex certificates
We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:
You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.
This feature allows you to:
Configure ICA certificate chain selection
To enable ICA selection for your account:
For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.
DigiCert Services API: DV certificate support for ICA certificate chain selection
In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:
Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.
Example DV certificate request:
For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.
CertCentral Services API: Verbesserter Endpunkt für Domänen-E-Mails
Um die Suche nach den DNS-TXT-E-Mail-Adressen zu erleichtern, die Validierungs-E-Mails von DigiCert für die E-Mail-basierte Validierung der Domänen-Kontrolle (DCV) erhalten, haben wir dem Endpunkt Domänen-E-Mails einen neuen Antwortparameter hinzugefügt: dns_txt_emails
.
Der Parameter dns_txt_emails
gibt eine Liste von E-Mail-Adressen zurück, die im DNS-TXT-Eintrag für die Domäne gefunden wurden. Dies sind die Mail-Adressen, die wir im DNS-TXT-Eintrag der Subdomäne _validation-contactemail
der zu überprüfenden Domäne finden.
Beispielantwort mit dem neuen Parameter:
Um mehr über die neu unterstützte DCV-Methode E-Mail zu DNS-TXT-Kontakt zu erfahren:
Informationen zur Validierung der Domänen bei DV-Zertifikatsaufträgen:
Informationen zur Validierung der Domänen bei OV/EV-Zertifikatsaufträgen:
CertCentral: DCV-Methode E-Mail an DNS-TXT-Kontakt
Wir freuen uns, Ihnen mitteilen zu können, dass DigiCert jetzt das Senden einer E-Mail an einen DNS-TXT-Kontakt für die E-Mail-basierte Validierung der Domänen-Kontrolle (DCV) unterstützt. Dies bedeutet, dass Sie E-Mail-Adressen zum DNS TXT-Eintrag für Ihre Domäne hinzufügen können. DigiCert durchsucht automatisch die DNS TXT-Einträge und sendet die DCV-E-Mail an diese Adressen. Ein E-Mail-Empfänger muss die Anweisungen in der E-Mail befolgen, um die Kontrolle über die Domäne nachzuweisen.
Hinweis: Zuvor hat DigiCert DCV-E-Mails nur an WHOIS-basierte und konstruierte E-Mail-Adressen gesendet.
Änderungen in der Branche
Aufgrund von Datenschutzrichtlinien und anderen Einschränkungen werden Kontaktinformationen in WHOIS-Datensätzen immer unzugänglicher. Mit der Verabschiedung von Ballot SC13 fügte das Certificate Authority/Browser (CA/B)-Forum E-Mail an DNS TXT-Kontakt zur Liste der unterstützten DCV-Methoden hinzu.
E-Mail-Kontakte im DNS-TXT-Eintrag
Um die DCV-Methode E-Mail an DNS-TXT-Kontakt zu verwenden, müssen Sie den DNS-TXT-Eintrag auf der validation-contactemail-Subdomäne der zu validierenden Domäne platzieren. DigiCert durchsucht automatisch WHOIS- und DNS TXT-Einträge und sendet die DCV-E-Mail an die in diesen Einträgen gefundenen Adressen.
_validation-contactemail.example.com | Default | validatedomain@digicerttest.com
Der RDATA-Wert dieses Texteintrags muss eine gültige E-Mail-Adresse sein. Siehe Abschnitt B.2.1 DNS-TXT-Eintrag E-Mail-Kontakt im Anhang der Basisanforderungen.
Weitere Informationen zu Ballot SC13, dem CA/Browser-Forum und der DCV-Methode E-Mail an DNS-TXT-Kontakt finden Sie hier:
CertCentral-Services-API: Aktualisierungen der Dokumentation
Wir haben der CertCentral Services API-Dokumentation für DV-Zertifikatsaufträge einen neuen Abfrageparameter hinzugefügt: use_auth_key
. In Konten mit einem vorhandenen AuthKey können Sie mit diesem Parameter wählen, ob Sie Ihre DNS-Einträge auf ein AuthKey-Abfragetoken prüfen möchten, wenn Sie einen DV-Zertifikatsauftrag erteilen.
Wenn ein AuthKey für Ihr Konto existiert, müssen Sie standardmäßig ein AuthKey-Abfragetoken zu Ihren DNS-Einträgen hinzufügen, bevor Sie ein DV-Zertifikat bestellen. AuthKey-Abfragetoken ermöglichen die sofortige Ausstellung von Zertifikaten, wodurch die Zeit, die Sie für die Verwaltung des Zertifikatslebenszyklus aufwenden, verringert wird. Es kann jedoch vorkommen, dass Sie die Kontrolle über Domänen mithilfe einer E-Mail-Validierung oder eines von DigiCert generierten Tokens verifizieren müssen. In diesen Fällen können Sie mit dem Parameter use_auth_key
die Prüfung auf ein AuthKey-Abfragetoken auf Auftragsebene deaktivieren, so dass Sie eine andere Methode zum Nachweis der Kontrolle über die Domäne verwenden können. Weitere Informationen zur Validierung der Domänen-Kontrolle (DCV) finden Sie unter Methoden der Validierung der Domänen-Kontrolle (DCV).
Um die AuthKey-Verifizierungsmethode für einen DV-Zertifikatsauftrag zu deaktivieren, fügen Sie den Parameter use_auth_key
in die JSON-Nutzlast der Abfrage ein. Beispiel:
Die folgenden Endpunkte unterstützen den Parameter use_auth_key
:
Informationen zur Verwendung eines AuthKey für die sofortige Ausstellung von DV-Zertifikaten finden Sie unter Sofortige Ausstellung eines DV-Zertifikats.
Hinweis: Der Parameter use_auth_key
wird bei Anfragen für Encryption Everywhere DV-Zertifikate ignoriert. Alle Anforderungen für Encryption Everywhere DV-Zertifikate erfordern ein AuthKey-Abfragetoken für DCV-Prüfungen. Außerdem unterstützen die OV- und EV-SSL-Produkte den Anfrageparameter use_auth_key
nicht.
CertCentral: Automatische DCV-Prüfungen – DCV-Polling
Wir freuen uns, Ihnen mitteilen zu können, dass wir den Prozess der Domänen-Kontroll-Validierung (DCV) verbessert und automatische Überprüfungen für die DCV-Methoden DNS TXT, DNS CNAME und HTTP-Praxisbeispiel (FileAuth) hinzugefügt haben.
Das heißt, sobald Sie die Datei fileauth.txt auf Ihrer Domäne platziert oder den Zufallswert zu Ihren DNS-TXT- oder DNS CNAME-Einträgen hinzugefügt haben, brauchen Sie sich nicht mehr bei CertCentral anzumelden, um die Prüfung selbst durchzuführen. Wir führen die DCV-Prüfung automatisch durch. Bei Bedarf können Sie jedoch eine manuelle Prüfung durchführen.
Kadenz für DCV-Polling
Nach dem Einreichen Ihres Auftrags für ein öffentliches SSL/TLS-Zertifikat, dem Einreichen einer Domäne zur Prävalidierung oder dem Ändern der DCV-Methode für eine Domäne beginnt das DCV-Polling sofort und läuft eine Woche lang.
* Nach dem Intervall 5 wird die Prüfung beendet. Wenn Sie bis zum Ende der ersten Woche die Datei fileauth.txt nicht auf Ihrer Domäne platziert oder den Zufallswert nicht zu Ihren DNS TXT- oder DNS CNAME-Einträgen hinzugefügt haben, müssen Sie die Prüfung selbst durchführen.
Weitere Informationen zu den unterstützten DCV-Methoden finden Sie hier: