Updates to OV and EV TLS certificate profiles
As we work to align our DV, OV, and EV TLS certificate profiles, we are making a minor change to our OV and EV TLS certificate profiles. Starting January 25, 2022, we will set the Basic Constraints extension to noncritical in our OV and EV TLS certificate profiles.
Note: DV TLS certificates are already issued with the Basic Constraints extension set to noncritical.
What do I need to do?
No action is required on your part. You shouldn't notice any difference in your certificate issuance process.
However, if your TLS certificate process requires the Basic Constraints extension to bet set to critical, contact your account manager or DigiCert Support immediately.
Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)
To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.
To learn more about the industry change, see Domain validation policy changes in 2021.
How does this affect me?
As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:
To learn more about the supported DCV method for DV, OV, and EV certificate requests:
CertCentral: Pending certificate requests and domain prevalidation using file-based DCV
Pending certificate request
If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.
*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.
To learn more about the supported DCV methods for DV, OV, and EV certificate requests:
Domain prevalidation
If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.
To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.
CertCentral Services API
If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).
CertCentral Services API: Improved domains array in OV/EV order response
To make it easier to see how the Services API groups the domains on your OV/EV TLS certificate orders for validation, we added a new response parameter to the endpoints for submitting certificate order requests: domains[].dns_name
.*
The dns_name
parameter returns the common name or SAN of the domain on the order. To prove you control this domain, you must have an active validation for the domain associated with the domains[].name
and domains[].id
key/value pairs.
Example OV certificate order
JSON payload:
JSON response:
The Services API returns the domains[].dns_name
parameter in the JSON response for the following endpoints:
*Note: Only order requests for OV/EV TLS certificates return a domains
array.
CertCentral Services API: Verbesserter Endpunkt für Domänen-E-Mails
Um die Suche nach den DNS-TXT-E-Mail-Adressen zu erleichtern, die Validierungs-E-Mails von DigiCert für die E-Mail-basierte Validierung der Domänen-Kontrolle (DCV) erhalten, haben wir dem Endpunkt Domänen-E-Mails einen neuen Antwortparameter hinzugefügt: dns_txt_emails
.
Der Parameter dns_txt_emails
gibt eine Liste von E-Mail-Adressen zurück, die im DNS-TXT-Eintrag für die Domäne gefunden wurden. Dies sind die Mail-Adressen, die wir im DNS-TXT-Eintrag der Subdomäne _validation-contactemail
der zu überprüfenden Domäne finden.
Beispielantwort mit dem neuen Parameter:
Um mehr über die neu unterstützte DCV-Methode E-Mail zu DNS-TXT-Kontakt zu erfahren:
Informationen zur Validierung der Domänen bei DV-Zertifikatsaufträgen:
Informationen zur Validierung der Domänen bei OV/EV-Zertifikatsaufträgen:
CertCentral: DCV-Methode E-Mail an DNS-TXT-Kontakt
Wir freuen uns, Ihnen mitteilen zu können, dass DigiCert jetzt das Senden einer E-Mail an einen DNS-TXT-Kontakt für die E-Mail-basierte Validierung der Domänen-Kontrolle (DCV) unterstützt. Dies bedeutet, dass Sie E-Mail-Adressen zum DNS TXT-Eintrag für Ihre Domäne hinzufügen können. DigiCert durchsucht automatisch die DNS TXT-Einträge und sendet die DCV-E-Mail an diese Adressen. Ein E-Mail-Empfänger muss die Anweisungen in der E-Mail befolgen, um die Kontrolle über die Domäne nachzuweisen.
Hinweis: Zuvor hat DigiCert DCV-E-Mails nur an WHOIS-basierte und konstruierte E-Mail-Adressen gesendet.
Änderungen in der Branche
Aufgrund von Datenschutzrichtlinien und anderen Einschränkungen werden Kontaktinformationen in WHOIS-Datensätzen immer unzugänglicher. Mit der Verabschiedung von Ballot SC13 fügte das Certificate Authority/Browser (CA/B)-Forum E-Mail an DNS TXT-Kontakt zur Liste der unterstützten DCV-Methoden hinzu.
E-Mail-Kontakte im DNS-TXT-Eintrag
Um die DCV-Methode E-Mail an DNS-TXT-Kontakt zu verwenden, müssen Sie den DNS-TXT-Eintrag auf der validation-contactemail-Subdomäne der zu validierenden Domäne platzieren. DigiCert durchsucht automatisch WHOIS- und DNS TXT-Einträge und sendet die DCV-E-Mail an die in diesen Einträgen gefundenen Adressen.
_validation-contactemail.example.com | Default | validatedomain@digicerttest.com
Der RDATA-Wert dieses Texteintrags muss eine gültige E-Mail-Adresse sein. Siehe Abschnitt B.2.1 DNS-TXT-Eintrag E-Mail-Kontakt im Anhang der Basisanforderungen.
Weitere Informationen zu Ballot SC13, dem CA/Browser-Forum und der DCV-Methode E-Mail an DNS-TXT-Kontakt finden Sie hier:
CertCentral-Services-API: DCV-Token für neue Domänen zu den Antwortdaten für OV- und EV-Zertifikatsaufträge hinzugefügt
Wir haben die Endpunkte für die Bestellung von öffentlichen OV- und EV-SSL-Zertifikaten aktualisiert, um die Anfragetoken für die Validierung der Domänen-Kontrolle (DCV) für neue Domänen im Auftrag zurückzugeben.
Wenn Sie ein OV- oder EV-Zertifikat anfordern, müssen Sie jetzt keine separaten Anfragen mehr stellen, um die DCV-Anfragetoken für die neuen Domänen im Auftrag zu erhalten. Stattdessen können Sie die Token direkt aus den Antwortdaten für die Auftragsanfrage abrufen.
Beispiel für Antwortdaten:
Hinweis: Das Objekt dcv_token
wird nicht für Domänen zurückgegeben, die im Rahmen einer anderen Domäne im Auftrag validiert werden, für Domänen, die bereits in Ihrem Konto vorhanden sind, oder für Subdomänen von bestehenden Domänen.
Dieses Update gilt für die folgenden Endpunkte: