Change log | docs.digicert.com

Mai 27, 2021

industry standards root certificates certificate signing request reissued certificates new certificates 3072-bit eToken ECC renewed certificates HSM code signing certificates RSA intermediate CA certificates ev code signing certificates industry changes

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

Stop issuing 2048-bit key code signing certificates
Only issue 3072-bit key or stronger code signing certificates
Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

Order new 2048-bit key certificates
Renew expiring 2048-bit key certificates
Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
DigiCert Trusted Root G4

ECC ICA and root certificates:

DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

To learn more about the Code Signing certificate changes, see Code signing changes in 2021.
To get a copy of the new intermediate CA and root certificates, see DigiCert Trusted Root Authority Certificates

If you have questions or concerns, please contact your account manager or our support team.

Dezember 1, 2020

industry changes reissued certificates renewal code signing certificates intermediate CA certificates ev code signing certificates compliance SHA-1 SHA-2

DigiCert stellt die Ausstellung von SHA-1 Code Signing-Zertifikaten ein

Am Dienstag, den 1. Dezember 2020 MST, wird DigiCert die Ausstellung von SHA-1 Code-Signing und SHA-1 EV Code-Signing-Zertifikaten einstellen.

Hinweis: Alle bestehenden SHA-1 Code-Signing/EV Code-Signing-Zertifikate bleiben aktiv, bis sie ablaufen.

Warum nimmt DigiCert diese Änderungen vor?

Um den neuen Industriestandards zu entsprechen, müssen Zertifizierungsstellen (ZS) bis zum 1. Januar 2021 die folgenden Änderungen vornehmen:

Es werden keine SHA-1 Code Signing-Zertifikate mehr ausgestellt
Es werden keine SHA-1-Zwischenzertifikate und SHA-1-Root-Zertifikate mehr verwendet, um SHA-256-Algorithmus-Code-Signing- und Zeitstempel-Zertifikate auszustellen

Siehe Anhang A in den Grundlegenden Anforderungen für die Ausstellung und Verwaltung von Publicly-Trusted Code Signing-Zertifikaten.

Wie wirken sich die Änderungen bei SHA-1 Code-Signing-Zertifikaten auf mich aus?

Wenn Sie SHA-1 Code-Signing-Zertifikate verwenden, ergreifen Sie bei Bedarf die folgenden Maßnahmen vor dem 1. Dezember 2020:

Beziehen Sie Ihre neuen SHA-1-Zertifikate
Erneuern Sie Ihre SHA-1-Zertifikate
Stellen Sie benötigte SHA-1-Zertifikate neu aus

Weitere Informationen zu den Änderungen vom 1. Dezember 2020 finden Sie in unserem Knowledgebase-Artikel DigiCert stellt die Ausstellung von SHA-1 Code-Signing-Zertifikate ein.

Falls Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Kundenbetreuer oder unser Supportteam.

März 31, 2020

code signing certificates Microsoft driver packages kernel-mode Policy changes compliance

Microsoft plant die Beendigung der Unterstützung digitaler Signaturen für Kernelmodustreiber-Pakete von Drittanbietern

Der Prozess zur Signierung Ihrer Kernelmodustreiber-Pakete ändert sich. Ab 2021 wird Microsoft der einzige Anbieter von produktiven Kernelmodus-Codesignaturen sein. Bevor Sie in Zukunft neue Kernelmodustreiber-Pakete signieren, sollten Sie zuerst die aktualisierten Anweisungen von Microsoft befolgen. Siehe Partnercenter für Windows-Hardware.

Wie geht DigiCert damit um?

Zunächst hat DigiCert in diesem Ausstiegsszenarium die Microsoft Kernelmodus-Code-Plattform-Option aus den Code Signing-Antragsformularen entfernt: Neue, Neuausstellungen und Verlängerungen.

Dies bedeutet, dass Sie in Zukunft kein Code Signing-Zertifikat für die Kernelmodus-Plattform mehr bestellen, neu ausstellen oder verlängern lassen können.

Welche Auswirkungen hat dies auf mein vorhandenes Kernelmodus-Code Signing-Zertifikat?

Sie können weiterhin Ihre vorhandenen Zertifikate verwenden, um Kernelmodustreiber-Pakete zu signieren bis das gegengezeichnete Stammzertifikat, an das sie gekettet sind, abläuft. Gegengezeichnete Stammzertifikate der Marke DigiCert laufen im Jahr 2021 aus.

Weitere Details erfahren Sie aus unserem sachkundigen Artikel Microsoft sunsetting support for cross-signed root certificates with kernel-mode signing capabilities(Microsoft plant die Beendigung der Unterstützung für gegengezeichnete Stammzertifikate mit Kernelmodus-Signaturfähigkeiten).

März 16, 2020

cancel order bug fix resend certificate generation email code signing certificates domain validation management Edit organization details division preferences domain validation scope enhancement New feature

CertCentral: Domänenvalidierungsmanagement für alle Kontotypen

Wir freuen uns, Ihnen mitteilen zu können, dass alle CertCentral-Konten nun standardmäßig mit Domänenvalidierungsmanagement ausgestattet sind. Alle Kontotypen haben jetzt Zugriff auf diese Domänenmanagementfunktionen:

Hinzufügen von Domänen direkt zu Ihrem Konto
Senden Sie Ihre Domänen zur Vorabvalidierung*
Verwaltung der Validierungen einzelner Domänen: EV- und OV-Zertifikate
Aktivieren und Deaktivieren von Domänen

Um die neuen Funktionen des Domänenvalidierungsmanagements zu nutzen, gehen Sie auf die Seite Domänen und im linken Hauptmenü auf Zertifikate > Domänen.

* Weitere Informationen zur Vorabvalidierung von Domänen siehe Vorabvalidierung von Domänen.

Hinweis: Bisher konnten nur Unternehmens- und Partnerkonten Domänen vorab validieren lassen und die Validierungen Ihrer Domänen verwalten (DCV).

CertCentral: Umfangseinstellungen der Domänenvalidierungen gelten nur für TLS-Aufträge

Auf der Seite Abteilungsvoreinstellungen aktualisierten wir unter „Domain Control Validation (DCV)“ die Einstellungen zum Domänenvalidierungsumfang: Genaue Domänennamen für die Validierung übermitteln und Basis-Domänen zur Validierung übermitteln. Diese aktualisierten Einstellungen erlauben Ihnen, das standardmäßige Domänenvalidierungsverhalten bei der Einreichung neuer Domänen durch den TLS-Bestellvorgang zu definieren: EV, OV und DV. Diese Einstellungen gelten nicht mehr für die Domänenvorabvalidierung.*

Genaue Domänennamen für die Validierung übermitteln
Bei dieser Option werden Anträge für neue Domänen genau so zur Validierung geschickt wie sie benannt sind. Ein Antrag auf Domänenvalidierung für sub2.sub1.example.com wird als sub2.sub1.example.com zur Validierung geschickt.
Basis-Domänen zur Validierung übermitteln
Bei der Validierung neuer Domänen durch den Bestellvorgang, werden Domänen und Unterdomänen auf der Basis-Domänenebene zur Validierung geschickt. Ein Antrag auf Domänenvalidierung für sub2.sub1.example.com wird als example.com zur Validierung geschickt. Bedenken Sie, dass das Validieren einer Basis-Domäne auch alle Unterdomänen für die Basis-Domäne validiert.

* Welche Auswirkungen haben diese Änderungen auf die Vorabvalidierung von Domänen?

Wenn Sie Domänen vorab validieren lassen, können Sie eine Domäne auf jeder Ebene validieren, Basis oder Unterdomänen jeder unteren Ebene: example.com aub1.example.com, sub2.sub1.example.com usw. Siehe Vorabvalidierung von Domänen.

"E-Mail zur Erstellung des Zertifikats erneut senden"-Option für browsergenerierte Code Signing-Zertifikatsaufträge

Wir fügten eine Option E-Mail zur Erstellung des Zertifikats erneut senden zu unserem Code Signing-Zertifikatsprozess für Aufträge, bei denen das Zertifikat in einem unterstützten Browser erzeugt wird: IE 11, Safari, Firefox 68 und portables Firefox.

Wenn nun ein Code Signing-Zertifikatsauftrag den Status Per E-Mail an den Empfänger hat,, können Sie die E-Mail zur Erzeugung des Zertifikats erneut senden.

Weitere Informationen finden Sie unter Die E-Mail mit dem Betreff " Erstellen Ihres DigiCert-Code Signing-Zertifikats" erneut senden.

Wir beseitigten einen Fehler, der die Anzeige der Option Auftrag stornieren für Code Signing-Zertifikatsaufträge mit dem Status Per E-Mail an den Empfänger verhinderte. Auf der Auftragsdetailseite, Seite fehlte die Option Auftrag stornieren in der Dropdownliste Zertifikatsaktionen.

Hinweis: Um diese Zertifikate zu stornieren, mussten Sie sich an unser Supportteam wenden.

Um einen Code Signing-Zertifikatsauftrag mit dem Status Per E-Mail an den Empfänger zu stornieren, gehen Sie nun zu der Seite „Auftragsdetails“ für das Zertifikat und stornieren den Auftrag.

Weitere Informationen: Stornieren eines Zertifikatsauftrags.

CertCentral: Organisationsdetails ändern

Es gibt eine neue Funktion für den Organisationsverwaltungsprozess in CertCentral – Organisationsdetails ändern. Um Organisationsinformationen zu aktualisieren, gehen Sie nun zu der Seite „Organisationsdetails“ für diese Organisation und klicken auf Organisation bearbeiten.

Was Sie tun müssen, bevor Sie Organisationsdetails ändern

Die Änderung von Organisationsdetails für eine validierte Organisation hebt alle bestehenden Validierungen für die Organisation auf. Dies kann nicht rückgängig gemacht werden. Das bedeutet, dass DigiCert die "aktualisierte/neue" Organisation validieren muss, bevor für sie Zertifikate ausgestellt werden können. Sie müssen verstehen und akzeptieren, was geschieht, wenn Sie Organisationsdetails ändern, bevor Sie beginnen.

Weitere Informationen: Organisationsdetails ändern.

September 3, 2019

code signing certificates compliance client certificates Keygen Firefox Emailed to Recipient Expiring Certificates

Firefox beendet Support für Schlüsselgenerierung

Mit der Version 69 beendet Firefox endgültig den Support für Schlüsselgenerierung (Keygen). Firefox nutzt Keygen, um das Generieren von Schlüsselmaterial für die Übermittlung des öffentlichen Schlüssels bei der Generierung von Code Signing-, Client- und SMIME-Zertifikaten.

Hinweis: Chrome hat den Support für Schlüsselgenerierung bereits beendet und Edge und Opera haben sie nie unterstützt.

Was bedeutet das für Sie?

Nach der Ausstellung Ihres Code Signing-, Client- oder SMIME-Zertifikats durch DigiCert erhalten Sie eine E-Mail mit einem Link zur Erstellung und Installation Ihres Zertifikats.

Sobald Firefox 69 freigegeben ist, können Sie diese Zertifikate nur noch mit zwei Browsern generieren: Internet Explorer und Safari. Falls Ihre Unternehmensrichtlinie die Nutzung von Firefox vorschreibt, können Sie Firefox ESR oder eine portable Kopie von Firefox nutzen.

Weitere Informationen finden Sie in Firefox beendet mit Version 69 den Keygen-Support.

Tipps und Tricks

Sie können Firefox 69 weiterhin für die Client-Authentifizierung verwenden. Generieren Sie zunächst das SMIME-Zertifikat in IE 11 oder Safari. Importieren Sie dann das SMIME-Zertifikat nach Firefox.
Um die Generierung von Code Signing-, Client- oder SMIME-Zertifikaten in Ihrem Browser zu umgehen, können Sie ein CSR generieren und mit Ihrem Auftrag senden. Statt eines Links sendet Ihnen DigiCert eine E-Mail mit Ihrem Zertifikat im Anhang.

Wir fügten einen neuen Status, Per E-Mail an Empfänger gesendet, zu den Seiten Aufträge und Auftragsdetails für Code Signing- and Client-Zertifikatsaufträge hinzu, um deutlicher erkennbar zu machen, wo sich diese Aufträge im Neuausstellungsprozess befinden.

Diese neue Status signalisiert, dass DigiCert den Auftrag validiert hat und das Zertifikat darauf wartet, dass der Benutzer/E-Mail-Empfänger es in einem der unterstützten Browser generiert: IE 11, Safari, Firefox 68 und portables Firefox.

(Klicken Sie im Menü der Seitenleiste auf Zertifikate > Aufträge. Klicken Sie dann auf der Seite „Aufträge“ auf die Auftragsnummer für den Code Signing- oder Client-Zertifikatsauftrag.)

Wir aktualisierten unseren Neuausstellungsprozess für Erweiterte Validierung (EV) Code Signing (CS) und Document Signing (DS)-Zertifikate, sodass Sie diese Zertifikate neu ausstellen lassen können, ohne das aktuelle Zertifikat automatisch zu widerrufen (Original oder zuvor neu ausgestelltes Zertifikat).

Hinweis: Falls Sie das aktuelle Zertifikat (Original oder zuvor neu ausgestelltes Zertifikat) nicht benötigen, wenden Sie sich an unseren Support, damit dieser es für Sie widerrufen kann.

Wenn Sie das nächste Mal ein EV CS- oder DS-Zertifikat neu ausstellen lassen, können Sie das zuvor ausgestellte Zertifikat für die aktuelle Gültigkeitsdauer (oder solange Sie es benötigen) aktiv lassen.

April 18, 2019

SHA1 certcentral-ui code signing certificates enhancement

DigiCert unterstützt weiterhin die SHA1-Signatur für Code Signing-Zertifikate. Wir beseitigen die Beschränkung der maximalen Laufzeit vom 30. Dezember 2019.