DigiCert stellt die Ausstellung von SHA-1 Code Signing-Zertifikaten ein
Am Dienstag, den 1. Dezember 2020 MST, wird DigiCert die Ausstellung von SHA-1 Code-Signing und SHA-1 EV Code-Signing-Zertifikaten einstellen.
Hinweis: Alle bestehenden SHA-1 Code-Signing/EV Code-Signing-Zertifikate bleiben aktiv, bis sie ablaufen.
Warum nimmt DigiCert diese Änderungen vor?
Um den neuen Industriestandards zu entsprechen, müssen Zertifizierungsstellen (ZS) bis zum 1. Januar 2021 die folgenden Änderungen vornehmen:
Siehe Anhang A in den Grundlegenden Anforderungen für die Ausstellung und Verwaltung von Publicly-Trusted Code Signing-Zertifikaten.
Wie wirken sich die Änderungen bei SHA-1 Code-Signing-Zertifikaten auf mich aus?
Wenn Sie SHA-1 Code-Signing-Zertifikate verwenden, ergreifen Sie bei Bedarf die folgenden Maßnahmen vor dem 1. Dezember 2020:
Weitere Informationen zu den Änderungen vom 1. Dezember 2020 finden Sie in unserem Knowledgebase-Artikel DigiCert stellt die Ausstellung von SHA-1 Code-Signing-Zertifikate ein.
Falls Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Kundenbetreuer oder unser Supportteam.
DigiCert stellt keine öffentlichen 2-jährigen SSL/TLS-Zertifikate mehr aus
Ab dem 27. August 2020, 5:59 PM MDT (23:59 UTC), wird DigiCert die Ausstellung von öffentlichen SSL/TLS-Zertifikaten mit einer Laufzeit von 2 Jahren einstellen, um sich auf die Änderungen der Branche an der maximal zulässigen Gültigkeit für öffentliche SSL/TLS-Zertifikate vorzubereiten.
Nach dem Stichtag am 27. August können Sie nur noch 1-jährige öffentliche SSL/TLS-Zertifikate erwerben.
Was muss ich tun?
So stellen Sie sicher, dass Sie benötigte 2-jährige öffentliche SSL/TLS-Zertifikate vor dem Stichtag 27. August erhalten:
Um zu erfahren, wie sich diese Änderung auf ausstehende Zertifikatsaufträge, Neuausstellungen und Duplikate auswirkt, siehe Einstellung der 2-jährigen DV-, OV- und EV-Öffentlichen SSL/TLS-Zertifikate.
DigiCert Services API
Für diejenigen, die die DigiCert Services API verwenden, müssen die API-Workflows aktualisiert werden, um die neue maximale Zertifikatsgültigkeit von 397 Tagen in Ihren nach dem 27. August getätigten Abfragen zu berücksichtigen. Siehe Services API.
Nach dem 27. August 2020
Nach dem 27. August können Sie nur noch öffentliche SSL/TLS-Zertifikate mit einer Laufzeit von einem Jahr erwerben. Um Ihre SSL/TLS-Abdeckung zu maximieren, können Sie Ihre neuen Zertifikate mit einem DigiCert® Mehrjahresplan erwerben. Siehe Mehrjahrespläne.
Warum nimmt DigiCert diese Änderung vor?
Am 1. September 2020 verabschiedet sich die Branche von 2-Jahres-Zertifikaten. Künftig können Zertifizierungsstellen (ZS) nur noch öffentliche DV-, OV- und EV-SSL/TLS-Zertifikate mit einer maximalen Gültigkeit von 398 Tagen (ca. 13 Monate) ausstellen.
DigiCert wird eine maximale Gültigkeit von 397 Tagen für alle öffentlichen SSL/TLS-Zertifikate einführen, um Zeitzonenunterschiede zu berücksichtigen und zu vermeiden, dass ein öffentliches SSL/TLS-Zertifikat ausgestellt wird, das die neue Anforderung von 398 Tagen maximaler Gültigkeit überschreitet.
In unserem Blog erfahren Sie mehr über den Übergang zu einjährigen öffentlichen SSL/TLS-Zertifikaten: Einjährige Public-Trust SSL-Zertifikate: DigiCert hilft Ihnen gerne weiter.
Microsoft plant die Beendigung der Unterstützung digitaler Signaturen für Kernelmodustreiber-Pakete von Drittanbietern
Der Prozess zur Signierung Ihrer Kernelmodustreiber-Pakete ändert sich. Ab 2021 wird Microsoft der einzige Anbieter von produktiven Kernelmodus-Codesignaturen sein. Bevor Sie in Zukunft neue Kernelmodustreiber-Pakete signieren, sollten Sie zuerst die aktualisierten Anweisungen von Microsoft befolgen. Siehe Partnercenter für Windows-Hardware.
Wie geht DigiCert damit um?
Zunächst hat DigiCert in diesem Ausstiegsszenarium die Microsoft Kernelmodus-Code-Plattform-Option aus den Code Signing-Antragsformularen entfernt: Neue, Neuausstellungen und Verlängerungen.
Dies bedeutet, dass Sie in Zukunft kein Code Signing-Zertifikat für die Kernelmodus-Plattform mehr bestellen, neu ausstellen oder verlängern lassen können.
Welche Auswirkungen hat dies auf mein vorhandenes Kernelmodus-Code Signing-Zertifikat?
Sie können weiterhin Ihre vorhandenen Zertifikate verwenden, um Kernelmodustreiber-Pakete zu signieren bis das gegengezeichnete Stammzertifikat, an das sie gekettet sind, abläuft. Gegengezeichnete Stammzertifikate der Marke DigiCert laufen im Jahr 2021 aus.
Weitere Details erfahren Sie aus unserem sachkundigen Artikel Microsoft sunsetting support for cross-signed root certificates with kernel-mode signing capabilities(Microsoft plant die Beendigung der Unterstützung für gegengezeichnete Stammzertifikate mit Kernelmodus-Signaturfähigkeiten).
Beendigung des Browsersupports für TLS 1.0 und 1.1
2020 beenden die vier verbreitetsten Browser den Support für Transport Layer Security (TLS) 1.0 und 1.1.
Diese Änderung wirkt sich nicht auf Ihre DigiCert-Zertifikate aus. Ihre Zertifikate werden weiterhin funktionieren wie immer.
Was Sie wissen müssen
Diese Änderung wirkt sich auf browserabhängige Dienste und Anwendungen aus, die von TLS 1.0 oder 1.1 abhängen. Sobald der Browsersupport für TLS 1.0 und 1.1 endet, werden diese überholten Systeme nicht mehr in der Lage sein, HTTPS-Verbindungen herzustellen.
Was Sie tun müssen
Falls Sie von dieser Änderung betroffen sind, planen Sie jetzt ein Upgrade auf TLS 1.2 oder TLS 1.3. Geben Sie sich ausreichend Vorlauf, um Probleme zu lösen. Stellen Sie, bevor Sie beginnen, sicher, dass Sie alle Systeme erkannt haben, die TLS 1.0 oder 1.1 nutzen.
Vergessen Sie nicht, Webserver wie Apache oder Microsoft IIS, .NET Framework, Serverüberwachungsagenten und andere kommerzielle Anwendungen zu prüfen, die es benutzen könnten.
Hilfreiche Ressourcen
Bei so vielen unterschiedlichen Systemtypen, die von TLS abhängig sein können, können wir nicht alle verfügbaren Upgrade-Pfade abdecken. Aber hier sind ein paar Referenzen, die helfen könnten:
Die neuen Compliance-Anforderungen für Private SSL-Zertifikate von Apple
Apple kündigte kürzlich einige neue Sicherheitsanforderungen für SSL/TLS-Zertifikate an, die mit der Veröffentlichung von iOS 13 und macOS 10.15 in Kraft treten werden. Diese Anforderungen betreffen private Zertifikate, die nach dem 1. Juli 2019 ausgestellt wurden.
Für Ihre öffentlichen DigiCert-SSL-/TLS-Zertifikate ist keine Aktion erforderlich.
Die öffentlichen DigiCert-SSL-/TLS-Zertifikate erfüllen bereits alle diese Sicherheitsanforderungen. Ihre öffentlichen SSL-/TLS-Zertifikate sind nicht davon betroffen bleiben auch in iOS 13 und macOS 10.15 vertrauenswürdig.
Was ist neu?
Apple implementiert zusätzliche Sicherheitsanforderungen für alle SSL-/TLS-Zertifikate, die sich gemäß Design auf private SSL-/TLS-Zertifikate auswirken. Siehe Anforderungen an vertrauenswürdige Zertifikate in iOS 13 und macOS 10.15.
Private DigiCert-SSL/TLS-Zertifikate erfüllen diese Anforderungen, wenn sie von Kontoadministratoren gemäß den öffentlichen Zertifikatsanforderungen ausgestellt wurden.
Wir haben unten eine Liste der Anforderungen die Auswirkungen auf Ihre privaten SSL-/TLS-Zertifikate haben können. Die Freigabe dieser Versionen ist von Apple OS für den Herbst dieses Jahres geplant. Das bedeutet, dass Sie sich jetzt vorbereiten müssen.
Neue private SSL/TLS-Zertifikatsanforderungen:
Was können Sie tun?
Falls das Vertrauen von Apple iOS und macOS für Ihre privaten SSL/TLS-Zertifikate erforderlich ist, stellen Sie sicher, dass private SSL/TLS-Zertifikate, die nach dem 1. Juli 2019 ausgestellt wurden, ihren Anforderungen gerecht werden. Falls Sie Zertifikate finden, die die Anforderungen nicht erfüllen, können Sie Folgendes tun:
Firefox beendet Support für Schlüsselgenerierung
Mit der Version 69 beendet Firefox endgültig den Support für Schlüsselgenerierung (Keygen). Firefox nutzt Keygen, um das Generieren von Schlüsselmaterial für die Übermittlung des öffentlichen Schlüssels bei der Generierung von Code Signing-, Client- und SMIME-Zertifikaten.
Hinweis: Chrome hat den Support für Schlüsselgenerierung bereits beendet und Edge und Opera haben sie nie unterstützt.
Was bedeutet das für Sie?
Nach der Ausstellung Ihres Code Signing-, Client- oder SMIME-Zertifikats durch DigiCert erhalten Sie eine E-Mail mit einem Link zur Erstellung und Installation Ihres Zertifikats.
Sobald Firefox 69 freigegeben ist, können Sie diese Zertifikate nur noch mit zwei Browsern generieren: Internet Explorer und Safari. Falls Ihre Unternehmensrichtlinie die Nutzung von Firefox vorschreibt, können Sie Firefox ESR oder eine portable Kopie von Firefox nutzen.
Weitere Informationen finden Sie in Firefox beendet mit Version 69 den Keygen-Support.
Tipps und Tricks
Wir fügten einen neuen Status, Per E-Mail an Empfänger gesendet, zu den Seiten Aufträge und Auftragsdetails für Code Signing- and Client-Zertifikatsaufträge hinzu, um deutlicher erkennbar zu machen, wo sich diese Aufträge im Neuausstellungsprozess befinden.
Diese neue Status signalisiert, dass DigiCert den Auftrag validiert hat und das Zertifikat darauf wartet, dass der Benutzer/E-Mail-Empfänger es in einem der unterstützten Browser generiert: IE 11, Safari, Firefox 68 und portables Firefox.
(Klicken Sie im Menü der Seitenleiste auf Zertifikate > Aufträge. Klicken Sie dann auf der Seite „Aufträge“ auf die Auftragsnummer für den Code Signing- oder Client-Zertifikatsauftrag.)
Wir aktualisierten unseren Neuausstellungsprozess für Erweiterte Validierung (EV) Code Signing (CS) und Document Signing (DS)-Zertifikate, sodass Sie diese Zertifikate neu ausstellen lassen können, ohne das aktuelle Zertifikat automatisch zu widerrufen (Original oder zuvor neu ausgestelltes Zertifikat).
Hinweis: Falls Sie das aktuelle Zertifikat (Original oder zuvor neu ausgestelltes Zertifikat) nicht benötigen, wenden Sie sich an unseren Support, damit dieser es für Sie widerrufen kann.
Wenn Sie das nächste Mal ein EV CS- oder DS-Zertifikat neu ausstellen lassen, können Sie das zuvor ausgestellte Zertifikat für die aktuelle Gültigkeitsdauer (oder solange Sie es benötigen) aktiv lassen.
Erinnerung an die Compliance mit den Branchenstandards
Bei öffentlichen und privaten Zertifikaten akzeptieren Zertifizierungsstellen (ZS) für diese Teile einer Adresse im Vorabvalidierungsantrag Ihres Zertifikatsauftrags oder Ihrer Organisation keine Abkürzungen:
* Dies gilt für Adressen der Organisation und des Gerichtsstands.
Wir erleichterten die Definition des Domänenvalidierungsumfangs für Ihr Konto bei der Beantragung der Domänenvalidierung (Vorabvalidierung oder per Zertifikatsauftrag).
Auf der Seite „Abteilungsvoreinstellungen“ fügten wir zwei Optionen zum Domänenvalidierungsumfang hinzu:
Um den Domänenvalidierungsumfang für Ihr Konto zu konfigurieren, klicken Sie im Menü der Seitenleiste auf Einstellungen > Voreinstellungen. Erweitern Sie auf der Seite „Abteilungsvoreinstellungen“ Erweiterte Einstellungen. Im DCV-Abschnitt unter Domänenvalidierungsumfang, sehen Sie die neuen Einstellungen.
Wir beseitigten einen Fehler, durch den wir die Anzahl der zulässigen SANS auf Aufträgen für Neuausstellung von Wildcard SSL-Zertifikaten und neuen Zertifikaten auf 10 beschränkten.
Jetzt können Sie zu Aufträgen neu ausgestellter oder neuer Wildcard SSL-Zertifikate bis zu 250 SANs hinzufügen.
Änderung der Branchenstandards
Ab dem 31. Juli 2019 (19:30 Uhr UTC) müssen Sie die DCV-Methode HTTP-Praxisbeispiel zum Nachweis der Kontrolle über IP-Adressen auf Ihren Zertifikatsaufträgen verwenden.
Weitere Informationen zur DCV-Methode HTTP-Praxisbeispiel:
Bisher pflegten Branchenstandards andere DCV-Methoden zum Nachweis der Kontrolle über Ihre IP-Adresse zuzulassen. Mit der Abstimmung SC7 wurden jedoch die Vorschriften für die Validierung der IP-Adresse geändert.
Abstimmung SC7: Validierungsmethoden zur Aktualisierung der IP-Adresse
Dieser Abstimmung definiert die zulässigen Prozesse und Verfahren für die Validierung der Kundenkontrolle über eine in einem Zertifikat gelistete IP-Adresse neu. Die Compliance-Änderungen gemäß Abstimmung SC7 treten am 31 Juli 2019 (19:30 Uhr UTC) in Kraft.
Um nach dem 31. Juli 31 2019 (19:30 Uhr UTC) mit den Vorschriften konform zu bleiben, gestattet DigiCert seinen Kunden nur noch die DCV-Methode HTTP-Praxisbeispiel zum Validieren ihrer IP-Adressen.
Beenden des Supports für IPv6
Seit dem 31. Juli 2019 (19:30 UTC) hat DigiCert den Support von Zertifikaten für IPv6-Adressen eingestellt. Aufgrund von Serverbeschränkungen ist DigiCert nicht in der Lage, eine IPv6-Adresse zu erreichen, um die Datei zu prüfen, die auf der Website de Kunden für die DCV-Methode HTTP-Praxisbeispiel liegt.
Wir haben die CertCentral-SAML-Verbundeinstellungen aktualisiert, sodass Sie die Möglichkeit haben, die Anzeige Ihres Verbundnamens in der Liste der IdPs auf den Seiten IdP-Einmaliges Anmelden für SAML-SSO und IdP-Auswahl für SAML-Zertifikatsanträge zu unterdrücken.
Auf der Seite der Verbundeinstellungen unter Ihren IDP-Metadaten haben wir nun die Option Verbundnamen einbeziehen hinzugefügt. Falls Sie Ihren Verbundnamen aus der Liste der IdPs auf der Seite IdP-Auswahl entfernen möchten,, deaktivieren Sie einfach die Option Fügen Sie meinen Verbundnamen zur Liste der IdPs hinzu.
Secure Site Pro TLS/SSL-Zertifikate sind in CertCentral verfügbar. Bei Secure Site Pro zahlen Sie pro Domäne; keine Zertifikatsbasiskosten. Fügen Sie eine Domäne hinzu, zahlen Sie für eine. Benötigen Sie neun Domänen, Zahlen Sie für neun. Schützen Sie bis zu 250 Domänen mit einem Zertifikat.
Wir bieten zwei Arten Secure Site Pro-Zertifikate an, eine für OV-Zertifikate und eine für EV-Zertifikate.
Vorteile jedes Secure Site Pro-Zertifikats
Jedes Secure Site Pro-Zertifikat umfasst – ohne Extrakosten – sofortigen Zugriff auf zukünftige Premium Feature-Ergänzungen für CertCentral (z. B. die CT-Protokollüberwachung und Validierungsmanagement).
Weitere Vorteile sind:
Um Secure Site Pro-Zertifikate für Ihr CertCentral-Konto zu aktivieren, wenden Sie sich an Ihren Kundenbetreuer oder unser Supportteam.
Weitere Informationen über unsere Secure Site Pro-Zertifikate: DigiCert Secure Site Pro.
Öffentliche SSL-Zertifikate können Domänennamen mit Unterstrichen ("_") nicht mehr schützen. Alle bereits ausgestellten Zertifikate mit Unterstrichen in Domänennamen müssen vor diesem Datum ablaufen.
Hinweis: Die bevorzugte Lösung für Unterstriche ist die Umbenennung der Hosts (FQDNs), welche Unterstriche enthalten, und das Ersetzen der Zertifikate. In Fällen jedoch, in denen das Umbenennen nicht möglich ist, können Sie private Zertifikate und in einigen Fällen ein Wildcard-Zertifikat benutzen, um die gesamte Domäne zu schützen.
Weitere Details: Beseitigen von Unterstrichen in Domänennamen.
Anforderungen der Branchenstandards an die Aufnahme der Erweiterung CanSignHttpExchanges in ein ECC-SSL/TLS-Zertifikat:
* Hinweis: Diese Anforderungen gilt ab 1. Mai 2019. Die Erweiterung Signed HTTP Exchange befindet sich in Entwicklung. Im Rahmen der weiteren Entwicklung können sich die Anforderungen noch ändern.
Die Anforderung einer Maximallaufzeit von 90 Tagen für das Zertifikat hat keinen Einfluss auf vor dem 1. Mai 2019 ausgestellte Zertifikate. Bei Zertifikaten, die erneut ausgestellt werden, wird die Laufzeit auf 90 Tage ab dem Zeitpunkt der Neuausstellung gekürzt. Sie können das Zertifikat jedoch weiterhin für die volle bezahlte Laufzeit neuausstellen.
CanSignHttpExchanges-Erweiterung
Vor kurzem fügten wir eine neues Zertifikatsprofil HTTP Signed Exchanges hinzu, um dem AMP-URL-Anzeigeproblem zu begegnen, durch das Ihre Marke nicht in der Adresszeile angezeigt wird. Bessere AMP-URLs mit Signed HTTP Exchange
Dieses neue Profil ermöglicht Ihnen, die CanSignHttpExchanges-Erweiterung in OV- und EV-SSL/TLS-Zertifikate einzubeziehen. Sobald es für Ihr Konto aktiviert ist, wird die Option Einbeziehen der CanSignHttpExchanges-Erweiterung in das Zertifikat auf Ihren OV- und EV-SSL/TLS-Antragsformularen unter Zusätzliche Zertifikatsoptionen angezeigt. Siehe So erhalten Sie Ihr Signed HTTP Exchange-Zertifikat.
Um dieses Zertifikatsprofil für Ihr Konto zu aktivieren, wenden Sie sich an Ihren Kundenbetreuer oder unser Supportteam.
Zertifizierungsstellen (CAs) stellen keine öffentlichen 30-Tage-SSL-Zertifikate mit Unterstrichen in Domänennamen (allgemeinen Namen und SANs) mehr aus.
Hinweis: Die bevorzugte Lösung für Unterstriche ist die Umbenennung der Hosts (FQDNs), welche Unterstriche enthalten, und das Ersetzen der Zertifikate. In Fällen jedoch, in denen das Umbenennen nicht möglich ist, können Sie private Zertifikate und in einigen Fällen ein Wildcard-Zertifikat benutzen, um die gesamte Domäne zu schützen.
Weitere Details: Beseitigen von Unterstrichen in Domänennamen.
Letzter Tag für die Bestellung 30-tägiger öffentlicher SSL-Zertifikate mit Unterstrichen in Domänennamen (allgemeine Namen und SANs) bei einer beliebigen CA.
Hinweis: Die bevorzugte Lösung für Unterstriche ist die Umbenennung der Hosts (FQDNs), welche Unterstriche enthalten, und das Ersetzen der Zertifikate. In Fällen jedoch, in denen das Umbenennen nicht möglich ist, können Sie private Zertifikate und in einigen Fällen ein Wildcard-Zertifikat benutzen, um die gesamte Domäne zu schützen.
Weitere Details: Beseitigen von Unterstrichen in Domänennamen.
Sie brauchen nichts zu tun.
Ab 13. Februar 2019 stellt DigiCert keine ECC TLS/SSL-Zertifikate (d. h. Zertifikate mit ECDSA-Schlüsseln) mit dem Curve-Hash-Paar P-384 mit SHA-2 512 (SHA-512) mehr aus. Dieses Curve-Hash-Paar ist mit der Stammspeicherrichtlinie von Mozilla nicht kompatibel.
Stammspeicherrichtlinie von Mozilla unterstützt nur diese Curve-Hash-Paare:
Hinweis: Sie haben ein Zertifikat mit einem P-384 mit SHA-512 Curve-Hash-Paar? Keine Sorge! Sobald das Zertifikat verlängert wird, wird es automatisch mithilfe eines unterstützten Curve-Hash-Paars ausgestellt.
Die Zertifizierungsstellen (Certificate Authorities, CAs) widerriefen bis zum Tagesende (UTC) alle öffentlichen SSL-Zertifikate mit Unterstrichen (im allgemeinen Namen und in den SANs) mit einer Höchstlaufzeit von mehr als 30 Tagen.
Falls Sie ein SSL-Zertifikat mit Gesamtlaufzeit von mehr als 30 Tagen hatten (schließt alle 1-Jahres-, 2-Jahres- und 3-Jahres-Zertifikate ein), das nach dem 14. Januar 2019 abgelaufen ist, musste die ausstellende Zertifizierungsstelle Ihr Zertifikat widerrufen.
Weitere Details: Beseitigen von Unterstrichen in Domänennamen.
DigiCert begann für begrenzte Zeit, öffentliche SSL-Zertifikate mit Unterstrichen auszustellen.
Weitere Details: Beseitigen von Unterstrichen in Domänennamen.
Im obersten Menü haben wir zwei neue Kontakt-Support-Optionen (Symbole für Telefon und Chat) hinzugefügt, um es innerhalb von CertCentral zu vereinfachen, sich an den Support zu wenden (per E-Mail, Chat oder Telefon).
Das Telefonsymbol bietet Ihnen E-Mail- und Telefonoptionen. Das Chat-Symbol bietet Ihnen ein Chat-Fenster, um mit einem unserer speziell geschulten Supportmitarbeiter zu chatten.
Wir verbesserten das Menü der Seitenleiste, sodass Sie leichter die Menüoptionen für die Seiten sehen können, die Sie besuchen. Wenn sie jetzt auf eine Seite in CertCentral gehen, sehen Sie neben der Option für diese Seite einen horizontalen blauen Balken.
Wir beseitigten einen Fehler der Funktion Organisation hinzufügen auf SSL/TLS-Zertifikatsantragsformularen, durch den der Validierungsstatus (EV- und OV-validiert) für neue Organisationen, die im Rahmen des Zertifikatsauftrags hinzugefügt und validiert wurden, nicht angezeigt wurde.
Hinweis: Der Validierungsstatus einer Organisation wird erst angezeigt, wenn wir die Organisation vollständig validiert haben.
Änderung der Branchenstandards-Compliance Bei öffentlich vertrauenswürdigen Zertifikaten dürfen Unterstriche ( _ ) nicht mehr in Unterdomänen verwendet werden. RFC 5280 wird nun auch für Unterdomänen durchgesetzt.
Siehe Öffentlich vertrauenswürdige Zertifikate – Dateneinträge, die gegen Branchenstandards verstoßen.
Die Branchenstandards wurden geändert und zwei DCV-Methoden wurden aus den Mindestanforderungen (Baseline Requirements, BRs) entfernt.
Ab dem 1. August 2018 dürfen Zertifizierungsstellen die folgenden DCV-Methoden nicht mehr verwenden:
Weitere Informationen über die verfügbaren DCV-Methoden finden Sie unter DCV-Methoden (Domain Control Validation).
DigiCert-Compliance mit der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz der Europäischen Union zum Schutz von Daten und Privatsphäre für alle Personen innerhalb der EU. Das primäre Ziel ist es, den Bürgern und Bewohnern der EU mehr Kontrolle über Ihre personenbezogenen Daten zu geben und durch die Vereinheitlichung der Vorschriften innerhalb der EU das regulatorische Umfeld für internationale Geschäfte zu vereinfachen. Die DSGVO trat am 25. Mai 2018 in Kraft. Weitere Details »
Die DigiCert-Erklärung
DigiCert versteht und befolgt die Anforderungen der DSGVO. Wir waren bereits in Übereinstimmung mit der DSGVO, als sie am 25. Mai 2018 in Kraft trat. Siehe Einhaltung der Datenschutz-Grundverordnung (DSGVO).
Auswirkungen der DSGVO auf WHOIS-basierte E-Mail-DCV (Domain Control Validation)
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Die DSGVO verlangt Datenschutz für natürliche Personen (nicht juristische Personen), die ihren Wohnsitz innerhalb der Europäischen Union (EU) haben.
DigiCert arbeitete mit ICANN, um die WHOIS-Daten verfügbar zu halten. ICANN kündigte an, dass es weiterhin Registrierungen und Registrierungsstellen benötigen wird, um mit ein paar Änderungen zur Einhaltung der DSGVO Informationen an WHOIS zu übermitteln. Siehe Anmerkungen zu WHOIS, DSGVO und Domänenvalidierung.
Verwenden Sie WHOIS-basierte E-Mail-Domänenvalidierung?
Prüfen Sie, ob Ihre Domänenregistrierung eine anonymisierte E-Mail oder ein Internetformular als Möglichkeit für Zertifizierungsstellen verwendet, DSGVO-konform auf WHOIS-Daten zuzugreifen.
Um den Validierungsprozess möglichst effizient zu halten, fordern Sie Ihre Registrierung auf, entweder weiterhin vollständig veröffentlichte Einträge oder eine anonymisierte E-Mail-Adresse für Ihre Domänen zu verwenden. Mit diesen Optionen wird sichergestellt, dass es minimale bis keine Auswirkungen auf unsere Validierungsprozesse hat.
Verwendet Ihre Registrierung eine anonymisierte E-Mail oder ein Internetformular als Möglichkeit für Zertifizierungsstellen auf WHOIS-Daten zuzugreifen? Falls ja, können wir die DCV-E-Mail an die Adressen senden, die in Ihrem WHOIS-Eintrag aufgelistet sind.
Maskiert oder entfernt Ihre Registrierungsstelle E-Mail-Adressen? Falls dem so ist, müssen Sie eine der anderen Methoden zum Nachweis der Kontrolle über Ihre Domänen verwenden:
Weitere Informationen über konstruierte E-Mail-Adressen und alternative DCV-Methoden finden Sie unter DCV-Methoden (Validierung der Domänenkontrolle).
Die Branchenstandards erlauben es einer Zertifizierungsstelle (CA), ein TLS-SSL-Zertifikat für eine Domäne auszustellen, die nur CAA-Einträge ohne "issue"-/"issuewild"-Eigenschaften-Tags hat.
Falls eine CA die CAA RRs einer Domäne abfragt und nur Dateneinträge ohne "issue"- oder "issuewild"-Eigenschaften-Tags findet, kann sie dies als Erlaubnis interpretieren, ein SSL/TLS-Zertifikat für diese Domäne auszustellen. Siehe Abstimmung 219: Klärung von CAA Record Sets ohne "issue"/"issuewild"-Eigenschafts-Tag.
Weitere Informationen über die CAA-RR-Prüfung finden Sie auf unserer Seite DNS CAA Resource Record Check.
Im Rahmen des branchenweiten Wechsels weg von TLS 1.0/1.1 und um unsere PCI-Compliance zu wahren, deaktivierte DigiCert TLS 1.0/1.1 am 1. April 2018. In der Folge unterstützt DigiCert nur noch TLS 1.2 und höher. Siehe Das Aus für TLS 1.0 und 1.1.
DigiCert implementiert eine verbesserte Überprüfung der Organisationseinheiten (OU).
Nach grundlegenden Anforderungen:
"Die CA WIRD einen Prozess implementieren, der verhindert, dass ein OU-Attribut einen Namen, einen DBA-Namen, einen Handelsnamen, eine Marke, eine Adresse, einen Standort oder anderen Text enthält, der sich auf eine bestimmte natürliche oder juristische Person bezieht, sofern die CA diese Information nicht in Übereinstimmung mit Abschnitt 11.2 ... geprüft hat."
Hinweis: Das OU-Feld ist ein optionales Feld. Es ist nicht erforderlich, eine Organisationseinheit in einen Zertifikatsantrag aufzunehmen.
Ab dem 1. März 2018 beträgt die maximale Laufzeit für erneut (oder als Duplikat) ausgestellte öffentliche 3-Jahres-SSL/TLS-Zertifikate 825 Tage.
Bei einem 3-Jahres-OV-Zertifikat, das am 1. März 2017 ausgestellt wurde, bedenken Sie, dass alle während des ersten Jahres der Laufzeit erneut ausgestellten oder duplizierten Zertifikate eine kürzere Laufzeit als das "Originalzertifikat" haben und deshalb zuerst ablaufen werden. Siehe
Wie wirkt sich das auf meine 3-Jahres-Zertifikatneuausstellungen und -duplikate aus?.
Ab 21. Februar 2018 bietet DigiCert aufgrund von Änderungen der Branchenstandards, die die maximale Laufzeit eines öffentlichen SSL-Zertifikats auf 825 Tage (ca. 27 Monate) begrenzen, nur noch 1- und 2-jährige öffentliche SSL-/TLS-Zertifikate an. Siehe 20. Februar 2018, letzter Tag für neue 3-Jahres-Aufträge von Zertifikaten.
Dies dient nur Informationszwecken. Es ist keine Aktion erforderlich.
Ab 1. Februar 2018 veröffentlicht DigiCert alle neu ausgestellten öffentlichen SSL-/TLS-Zertifikate in öffentlichen CT-Protokollen. OV-Zertifikate, die vor dem 1. Februar 2018 ausgestellt wurden sind davon nicht betroffen. Beachten Sie, dass die CT-Protokollierung für EV-Zertifikate bereits seit 2015 verlangt wird. Siehe DigiCert-Zertifikate werden ab 1. Febr. öffentlich protokolliert.
Neue Funktion "Ausschluss von der CT-Protokollierung bei der Bestellung eines Zertifikats" zu CertCentral hinzugefügt. Wenn Sie diese Funktion aktivieren (Einstellungen > Voreinstellungen), können Kontobenutzer öffentliche SSL-/TLS-Zertifikate von der Protokollierung in öffentlichen CT-Protokollen auf Auftragsbasis ausnehmen.
Bei der Bestellung eines SSL-Zertifikats haben die Benutzer die Option, das SSL/TLS-Zertifikat nicht in öffentlichen CT-Protokollen zu protokollieren. Diese Funktion ist verfügbar, wenn ein Benutzer ein neues Zertifikat beantragt, ein Zertifikat neuausstellen oder verlängern lässt. Siehe CertCentral-CT-Protokollierungsanleitung für öffentliche SSL/TLS-Zertifikate.
Es wurde ein neues CT-Protokollierungsfeld (disable_ct) hinzugefügt zu den SSL-Zertifikatsantrags-API-Endpunkten hinzugefügt. Außerdem wurde ein neuer Endpunkt „Ausgestelltes Zertifikat von CT-Protokollierung ausnehmen“ (CT-Status) hinzugefügt. Siehe CertCentral-API-Anleitung zum Ausnehmen öffentlicher SSL/TLS-Zertifikate von der CT-Protokollierung.
Änderungen der Branchenstandards für Prüfungen von CAA-Ressourcen-Einträgen. Änderung der Prüfung von CNAME-Ketten mit 8 oder weniger CNAME-Einträgen, wobei die Suche nicht das übergeordnete Ziel eines CNAME-Eintrags umfasst. Siehe DNS-CAA-Dateneintragsprüfung
Änderungen der Branchenstandards bei der Ausstellung von Zertifikaten. Bei der Zertifikatsausstellung werden nun DNS-CAA-Dateneinträge überprüft. Siehe DNS-CAA-Dateneintragsprüfung
Compliance-Änderungen der Branchenstandards; verbesserte RFC 5280-Prüfung von Verletzungen und -Zwangsmaßnahmen. Siehe Öffentlich vertrauenswürdige Zertifikate – Dateneinträge, die gegen Branchenstandards verstoßen
Änderung der Validierung in den Branchenstandards Validierungsinformationen (DCV oder Organisation), die älter als 825 Tage sind, müssen neu validiert werden, bevor ein Zertifikat neu ausgestellt, verlängert oder ausgestellt werden kann. Weitere Details »
Compliance-Änderungen der Branchenstandards; erweiterte Unterstützung für zusätzliche DCV-Methoden. Siehe Domänenvorabvalidierung: DCV-Methoden (Domain Control Validation).
