Filtern nach: code signing certificates x Löschen
enhancement

CertCentral: Improved Order details page

DigiCert is happy to announce that we improved the layout and design of the Order details page.

We took your feedback and updated the Orders page to make managing your certificates and orders easier throughout their lifecycle.

When we reorganized the information on the Order details page, we didn’t remove anything. So, everything you did before the updates, you can still do now. However, there are a few things you asked for that you can do now that you couldn’t do before.

Summary of changes:

  • We added new banners, alerts, and icons to help you better understand the actions you need to take on your certificates and orders.
  • We added a Certificate history tab to the Order details page. Now, you can view and interact with all the certificates associated with the order: reissues, duplicates, expired, and revoked.
  • We added the ability to revoke an individual certificate or all the certificates on the order.
  • We also updated the Orders page to add Certificate and Order alert banners, advanced search features, and columns in the orders list.
  • These changes do not affect Guest access. When accessing an order via guest access, you will not see any of the updates.

See the changes for yourself. In your CertCentral account, in the left main menu, go to Certificates > Orders.

Want to provide feedback?

The next time you are in your CertCentral account, locate the “d” icon in the lower right corner of the page (white “d” in a blue circle) and click it. Use the Share Your Feedback feature to let us know your thoughts on the changes. And don’t hesitate to provide feedback about other CertCentral pages and functionality.

new

CertCentral: DigiCert KeyGen, our new key generation service

DigiCert is happy to announce our new key generation service—KeyGen. Use KeyGen to generate and install your client and code signing certificates from your browser. KeyGen can be used on macOS and Windows and is supported by all major browsers.

With KeyGen, you don't need to generate a CSR to order your client and code signing certificates. Place your order without a CSR. Then after we process the order and your certificate is ready, DigiCert sends a "Generate your Certificate" email with instructions on using KeyGen to get your certificate.

How does KeyGen work?

KeyGen generates a keypair and then uses the public key to create a certificate signing request (CSR). KeyGen sends the CSR to DigiCert, and DigiCert sends the certificate back to KeyGen. Then KeyGen downloads a PKCS12 (.p12) file to your desktop that contains the certificate and the private key. The password you create during the certificate generation process protects the PKCS12 file. When you use the password to open the certificate file, the certificate gets installed in your personal certificate store.

To learn more about generating client and code signing certificates from your browser, see the following instructions:

new

Verified Mark Certificates (VMC): Three new approved trademark offices

We are happy to announce that DigiCert now recognizes three more intellectual property offices for verifying the logo for your VMC certificate. These new offices are in Korea, Brazil, and India.

New approved trademark offices:

Other approved trademark offices:

What is a Verified Mark Certificate?

Verified Mark Certificates (VMCs) are a new type of certificate that allows companies to place a certified brand logo next to the “sender” field in customer inboxes.

  • Your logo is visible before the message is opened.
  • Your logo acts as confirmation of your domain’s DMARC status and your organization’s authenticated identity. 

Learn more about VMC certificates.

fix

Bugfix: Code Signing (CS) certificate generation email sent only to CS verified contact

We fixed a bug in the Code Signing (CS) certificate issuance process where we were sending the certificate generation email to only the CS verified contact. This bug only happened when the requestor did not include a CSR with the code signing certificate request.

Now, for orders submitted without a CSR, we send the code signing certificate generation email to:

  • Certificate requestor
  • CS verified contact
  • Additional emails included with the order

Note: DigiCert recommends submitting a CSR with your Code Signing certificate request. Currently, Internet Explorer is the only browser that supports keypair generation. See our knowledgebase article: Keygen support dropped with Firefox 69.

compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

compliance

DigiCert stellt die Ausstellung von SHA-1 Code Signing-Zertifikaten ein

Am Dienstag, den 1. Dezember 2020 MST, wird DigiCert die Ausstellung von SHA-1 Code-Signing und SHA-1 EV Code-Signing-Zertifikaten einstellen.

Hinweis: Alle bestehenden SHA-1 Code-Signing/EV Code-Signing-Zertifikate bleiben aktiv, bis sie ablaufen.

Warum nimmt DigiCert diese Änderungen vor?

Um den neuen Industriestandards zu entsprechen, müssen Zertifizierungsstellen (ZS) bis zum 1. Januar 2021 die folgenden Änderungen vornehmen:

  • Es werden keine SHA-1 Code Signing-Zertifikate mehr ausgestellt
  • Es werden keine SHA-1-Zwischenzertifikate und SHA-1-Root-Zertifikate mehr verwendet, um SHA-256-Algorithmus-Code-Signing- und Zeitstempel-Zertifikate auszustellen

Siehe Anhang A in den Grundlegenden Anforderungen für die Ausstellung und Verwaltung von Publicly-Trusted Code Signing-Zertifikaten.

Wie wirken sich die Änderungen bei SHA-1 Code-Signing-Zertifikaten auf mich aus?

Wenn Sie SHA-1 Code-Signing-Zertifikate verwenden, ergreifen Sie bei Bedarf die folgenden Maßnahmen vor dem 1. Dezember 2020:

  • Beziehen Sie Ihre neuen SHA-1-Zertifikate
  • Erneuern Sie Ihre SHA-1-Zertifikate
  • Stellen Sie benötigte SHA-1-Zertifikate neu aus

Weitere Informationen zu den Änderungen vom 1. Dezember 2020 finden Sie in unserem  Knowledgebase-Artikel DigiCert stellt die Ausstellung von SHA-1 Code-Signing-Zertifikate ein.

Falls Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Kundenbetreuer oder unser Supportteam.

compliance

Microsoft plant die Beendigung der Unterstützung digitaler Signaturen für Kernelmodustreiber-Pakete von Drittanbietern

Der Prozess zur Signierung Ihrer Kernelmodustreiber-Pakete ändert sich. Ab 2021 wird Microsoft der einzige Anbieter von produktiven Kernelmodus-Codesignaturen sein. Bevor Sie in Zukunft neue Kernelmodustreiber-Pakete signieren, sollten Sie zuerst die aktualisierten Anweisungen von Microsoft befolgen. Siehe Partnercenter für Windows-Hardware.

Wie geht DigiCert damit um?

Zunächst hat DigiCert in diesem Ausstiegsszenarium die Microsoft Kernelmodus-Code-Plattform-Option aus den Code Signing-Antragsformularen entfernt: Neue, Neuausstellungen und Verlängerungen.

Dies bedeutet, dass Sie in Zukunft kein Code Signing-Zertifikat für die Kernelmodus-Plattform mehr bestellen, neu ausstellen oder verlängern lassen können.

Welche Auswirkungen hat dies auf mein vorhandenes Kernelmodus-Code Signing-Zertifikat?

Sie können weiterhin Ihre vorhandenen Zertifikate verwenden, um Kernelmodustreiber-Pakete zu signieren bis das gegengezeichnete Stammzertifikat, an das sie gekettet sind, abläuft. Gegengezeichnete Stammzertifikate der Marke DigiCert laufen im Jahr 2021 aus.

Weitere Details erfahren Sie aus unserem sachkundigen Artikel Microsoft sunsetting support for cross-signed root certificates with kernel-mode signing capabilities(Microsoft plant die Beendigung der Unterstützung für gegengezeichnete Stammzertifikate mit Kernelmodus-Signaturfähigkeiten).

compliance

Firefox beendet Support für Schlüsselgenerierung

Mit der Version 69 beendet Firefox endgültig den Support für Schlüsselgenerierung (Keygen). Firefox nutzt Keygen, um das Generieren von Schlüsselmaterial für die Übermittlung des öffentlichen Schlüssels bei der Generierung von Code Signing-, Client- und SMIME-Zertifikaten.

Hinweis: Chrome hat den Support für Schlüsselgenerierung bereits beendet und Edge und Opera haben sie nie unterstützt.

Was bedeutet das für Sie?

Nach der Ausstellung Ihres Code Signing-, Client- oder SMIME-Zertifikats durch DigiCert erhalten Sie eine E-Mail mit einem Link zur Erstellung und Installation Ihres Zertifikats.

Sobald Firefox 69 freigegeben ist, können Sie diese Zertifikate nur noch mit zwei Browsern generieren: Internet Explorer und Safari. Falls Ihre Unternehmensrichtlinie die Nutzung von Firefox vorschreibt, können Sie Firefox ESR oder eine portable Kopie von Firefox nutzen.

Weitere Informationen finden Sie in Firefox beendet mit Version 69 den Keygen-Support.

Tipps und Tricks

  • Sie können Firefox 69 weiterhin für die Client-Authentifizierung verwenden. Generieren Sie zunächst das SMIME-Zertifikat in IE 11 oder Safari. Importieren Sie dann das SMIME-Zertifikat nach Firefox.
  • Um die Generierung von Code Signing-, Client- oder SMIME-Zertifikaten in Ihrem Browser zu umgehen, können Sie ein CSR generieren und mit Ihrem Auftrag senden. Statt eines Links sendet Ihnen DigiCert eine E-Mail mit Ihrem Zertifikat im Anhang.
new

Wir fügten einen neuen Status, Per E-Mail an Empfänger gesendet, zu den Seiten Aufträge und Auftragsdetails für Code Signing- and Client-Zertifikatsaufträge hinzu, um deutlicher erkennbar zu machen, wo sich diese Aufträge im Neuausstellungsprozess befinden.

Diese neue Status signalisiert, dass DigiCert den Auftrag validiert hat und das Zertifikat darauf wartet, dass der Benutzer/E-Mail-Empfänger es in einem der unterstützten Browser generiert: IE 11, Safari, Firefox 68 und portables Firefox.

(Klicken Sie im Menü der Seitenleiste auf Zertifikate > Aufträge. Klicken Sie dann auf der Seite „Aufträge“ auf die Auftragsnummer für den Code Signing- oder Client-Zertifikatsauftrag.)

enhancement

Wir aktualisierten unseren Neuausstellungsprozess für Erweiterte Validierung (EV) Code Signing (CS) und Document Signing (DS)-Zertifikate, sodass Sie diese Zertifikate neu ausstellen lassen können, ohne das aktuelle Zertifikat automatisch zu widerrufen (Original oder zuvor neu ausgestelltes Zertifikat).

Hinweis: Falls Sie das aktuelle Zertifikat (Original oder zuvor neu ausgestelltes Zertifikat) nicht benötigen, wenden Sie sich an unseren Support, damit dieser es für Sie widerrufen kann.

Wenn Sie das nächste Mal ein EV CS- oder DS-Zertifikat neu ausstellen lassen, können Sie das zuvor ausgestellte Zertifikat für die aktuelle Gültigkeitsdauer (oder solange Sie es benötigen) aktiv lassen.

enhancement

DigiCert unterstützt weiterhin die SHA1-Signatur für Code Signing-Zertifikate. Wir beseitigen die Beschränkung der maximalen Laufzeit vom 30. Dezember 2019.