Filtern nach: compliance x Löschen
compliance

DigiCert stellt die Ausstellung von SHA-1 Code Signing-Zertifikaten ein

Am Dienstag, den 1. Dezember 2020 MST, wird DigiCert die Ausstellung von SHA-1 Code-Signing und SHA-1 EV Code-Signing-Zertifikaten einstellen.

Hinweis: Alle bestehenden SHA-1 Code-Signing/EV Code-Signing-Zertifikate bleiben aktiv, bis sie ablaufen.

Warum nimmt DigiCert diese Änderungen vor?

Um den neuen Industriestandards zu entsprechen, müssen Zertifizierungsstellen (ZS) bis zum 1. Januar 2021 die folgenden Änderungen vornehmen:

  • Es werden keine SHA-1 Code Signing-Zertifikate mehr ausgestellt
  • Es werden keine SHA-1-Zwischenzertifikate und SHA-1-Root-Zertifikate mehr verwendet, um SHA-256-Algorithmus-Code-Signing- und Zeitstempel-Zertifikate auszustellen

Siehe Anhang A in den Grundlegenden Anforderungen für die Ausstellung und Verwaltung von Publicly-Trusted Code Signing-Zertifikaten.

Wie wirken sich die Änderungen bei SHA-1 Code-Signing-Zertifikaten auf mich aus?

Wenn Sie SHA-1 Code-Signing-Zertifikate verwenden, ergreifen Sie bei Bedarf die folgenden Maßnahmen vor dem 1. Dezember 2020:

  • Beziehen Sie Ihre neuen SHA-1-Zertifikate
  • Erneuern Sie Ihre SHA-1-Zertifikate
  • Stellen Sie benötigte SHA-1-Zertifikate neu aus

Weitere Informationen zu den Änderungen vom 1. Dezember 2020 finden Sie in unserem  Knowledgebase-Artikel DigiCert stellt die Ausstellung von SHA-1 Code-Signing-Zertifikate ein.

Falls Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Kundenbetreuer oder unser Supportteam.

compliance

DigiCert stellt keine öffentlichen 2-jährigen SSL/TLS-Zertifikate mehr aus

Ab dem 27. August 2020, 5:59 PM MDT (23:59 UTC), wird DigiCert die Ausstellung von öffentlichen SSL/TLS-Zertifikaten mit einer Laufzeit von 2 Jahren einstellen, um sich auf die Änderungen der Branche an der maximal zulässigen Gültigkeit für öffentliche SSL/TLS-Zertifikate vorzubereiten.

Nach dem Stichtag am 27. August können Sie nur noch 1-jährige öffentliche SSL/TLS-Zertifikate erwerben.

Was muss ich tun?

So stellen Sie sicher, dass Sie benötigte 2-jährige öffentliche SSL/TLS-Zertifikate vor dem Stichtag 27. August erhalten:

  • Machen Sie eine Bestandsaufnahme der benötigten 2-Jahres-Zertifikate – neue und erneuerte.
  • Bestellen Sie alle 2-Jahres-Zertifikate, die Sie benötigen, vor dem 13. August.
  • Reagieren Sie rechtzeitig auf alle Anfragen zur Validierung von Domänen und Organisationen.

Um zu erfahren, wie sich diese Änderung auf ausstehende Zertifikatsaufträge, Neuausstellungen und Duplikate auswirkt, siehe Einstellung der 2-jährigen DV-, OV- und EV-Öffentlichen SSL/TLS-Zertifikate.

DigiCert Services API

Für diejenigen, die die DigiCert Services API verwenden, müssen die API-Workflows aktualisiert werden, um die neue maximale Zertifikatsgültigkeit von 397 Tagen in Ihren nach dem 27. August getätigten Abfragen zu berücksichtigen. Siehe Services API.

Nach dem 27. August 2020

Nach dem 27. August können Sie nur noch öffentliche SSL/TLS-Zertifikate mit einer Laufzeit von einem Jahr erwerben. Um Ihre SSL/TLS-Abdeckung zu maximieren, können Sie Ihre neuen Zertifikate mit einem DigiCert® Mehrjahresplan erwerben. Siehe Mehrjahrespläne.

Warum nimmt DigiCert diese Änderung vor?

Am 1. September 2020 verabschiedet sich die Branche von 2-Jahres-Zertifikaten. Künftig können Zertifizierungsstellen (ZS) nur noch öffentliche DV-, OV- und EV-SSL/TLS-Zertifikate mit einer maximalen Gültigkeit von 398 Tagen (ca. 13 Monate) ausstellen.

DigiCert wird eine maximale Gültigkeit von 397 Tagen für alle öffentlichen SSL/TLS-Zertifikate einführen, um Zeitzonenunterschiede zu berücksichtigen und zu vermeiden, dass ein öffentliches SSL/TLS-Zertifikat ausgestellt wird, das die neue Anforderung von 398 Tagen maximaler Gültigkeit überschreitet.

In unserem Blog erfahren Sie mehr über den Übergang zu einjährigen öffentlichen SSL/TLS-Zertifikaten: Einjährige Public-Trust SSL-Zertifikate: DigiCert hilft Ihnen gerne weiter.

new

Mehrjahrespläne jetzt verfügbar

Wir freuen uns, Ihnen mitteilen zu können, dass Mehrjahrespläne jetzt in CertCentral und CertCentral Partners verfügbar sind.

Mehrjahrespläne von DigiCert® ermöglichen eine einmalige Zahlung für bis zu sechs Jahre SSL/TLS-Zertifikatsabdeckung. Bei Mehrjahresplänen wählen Sie das SSL/TLS-Zertifikat, die Gültigkeitsdauer des Zertifikats und die gewünschte Dauer der Abdeckung (bis zu sechs Jahren). Bis zum Ablauf des Plans stellen Sie das Zertifikat ohne Kosten neu aus, wenn es das Ende seiner Gültigkeitsdauer erreicht.

Die maximale Gültigkeitsdauer eines SSL/TLS-Zertifikats wird am 1. September 2020 von 825 Tagen auf 397 Tage gesenkt. Wenn das aktive Zertifikat für einen Mehrjahresplan in Kürze abläuft, stellen Sie das Zertifikat neu aus, um Ihre SSL/TLS-Abdeckung aufrechtzuerhalten.

compliance

Beendigung des Browsersupports für TLS 1.0 und 1.1

Die vier verbreitetsten Browser beenden den Support für Transport Layer Security (TLS) 1.0 und 1.1.

Was Sie wissen müssen

Diese Änderung wirkt sich nicht auf Ihre DigiCert-Zertifikate aus. Ihre Zertifikate werden weiterhin funktionieren wie immer.

Diese Änderung wirkt sich auf browserabhängige Dienste und Anwendungen aus, die von TLS 1.0 oder 1.1 abhängen. Da nun der Browsersupport für TLS 1.0 und 1.1 endet, werden veraltete Systeme nicht mehr in der Lage sein, HTTPS-Verbindungen herzustellen.

Was Sie tun müssen

Wenn Sie von dieser Änderung betroffen sind und Ihr System neuere Versionen des TLS-Protokolls unterstützt, aktualisieren Sie Ihre Serverkonfiguration so bald wie möglich auf TLS 1.2 oder TLS 1.3.

Wenn Sie nicht auf TLS 1.2 oder 1.3 aktualisieren, wird Ihr Webserver, System oder Agent nicht mehr in der Lage sein, HTTPS für die sichere Kommunikation mit dem Zertifikat zu verwenden.

Informationen zum Ende der Verwendung von TLS 1.0/1.1 durch Browser

Firefox 78, veröffentlicht am 30. Juni 2020

Safari 13,1, veröffentlicht am 24. März 2020

Chrome 84, veröffentlicht am 21. Juli 2020

Edge v84.07, veröffentlicht am 16. Juli. 2020

Hilfreiche Ressourcen

Bei so vielen unterschiedlichen Systemen, die von TLS abhängig sein können, können wir nicht alle Upgrade-Pfade abdecken. Aber hier sind ein paar Referenzen, die helfen könnten:

enhancement

CertCentral-Services-API: Aktualisierte Dokumentation zu Fehlermeldungen

In der Dokumentation der Services API haben wir die Fehlerseite  aktualisiert, um Beschreibungen für Fehlermeldungen einzubeziehen, in Bezug auf:

  • Sofortige DV-Zertifikatsausstellung
  • Validierung der Domain-Kontrolle (Domain Control Validation, DCV)
  • Überprüfung von Ressourcendatensätzen der Zertifizierungsstelle (Certificate Authority Authorization, CAA)

Anfang des Jahres haben wir die APIs für DV-Zertifikatsaufträge und DCV-Anfragen verbessert, um detailliertere Fehlermeldungen bereitzustellen, wenn DCV, Dateiautorisierung, DNS-Lookups oder CAA-Ressourcendatensatzprüfungen fehlschlagen. Wenn Sie eine dieser Fehlermeldungen erhalten, finden Sie jetzt auf der Seite „Fehler“ zusätzliche Informationen zur Fehlerbehebung.

Für weitere Informationen:

compliance

Microsoft plant die Beendigung der Unterstützung digitaler Signaturen für Kernelmodustreiber-Pakete von Drittanbietern

Der Prozess zur Signierung Ihrer Kernelmodustreiber-Pakete ändert sich. Ab 2021 wird Microsoft der einzige Anbieter von produktiven Kernelmodus-Codesignaturen sein. Bevor Sie in Zukunft neue Kernelmodustreiber-Pakete signieren, sollten Sie zuerst die aktualisierten Anweisungen von Microsoft befolgen. Siehe Partnercenter für Windows-Hardware.

Wie geht DigiCert damit um?

Zunächst hat DigiCert in diesem Ausstiegsszenarium die Microsoft Kernelmodus-Code-Plattform-Option aus den Code Signing-Antragsformularen entfernt: Neue, Neuausstellungen und Verlängerungen.

Dies bedeutet, dass Sie in Zukunft kein Code Signing-Zertifikat für die Kernelmodus-Plattform mehr bestellen, neu ausstellen oder verlängern lassen können.

Welche Auswirkungen hat dies auf mein vorhandenes Kernelmodus-Code Signing-Zertifikat?

Sie können weiterhin Ihre vorhandenen Zertifikate verwenden, um Kernelmodustreiber-Pakete zu signieren bis das gegengezeichnete Stammzertifikat, an das sie gekettet sind, abläuft. Gegengezeichnete Stammzertifikate der Marke DigiCert laufen im Jahr 2021 aus.

Weitere Details erfahren Sie aus unserem sachkundigen Artikel Microsoft sunsetting support for cross-signed root certificates with kernel-mode signing capabilities(Microsoft plant die Beendigung der Unterstützung für gegengezeichnete Stammzertifikate mit Kernelmodus-Signaturfähigkeiten).

compliance

Beendigung des Browsersupports für TLS 1.0 und 1.1

2020 beenden die vier verbreitetsten Browser den Support für Transport Layer Security (TLS) 1.0 und 1.1.

Diese Änderung wirkt sich nicht auf Ihre DigiCert-Zertifikate aus. Ihre Zertifikate werden weiterhin funktionieren wie immer.

Was Sie wissen müssen

Diese Änderung wirkt sich auf browserabhängige Dienste und Anwendungen aus, die von TLS 1.0 oder 1.1 abhängen. Sobald der Browsersupport für TLS 1.0 und 1.1 endet, werden diese überholten Systeme nicht mehr in der Lage sein, HTTPS-Verbindungen herzustellen.

Was Sie tun müssen

Falls Sie von dieser Änderung betroffen sind, planen Sie jetzt ein Upgrade auf TLS 1.2 oder TLS 1.3. Geben Sie sich ausreichend Vorlauf, um Probleme zu lösen. Stellen Sie, bevor Sie beginnen, sicher, dass Sie alle Systeme erkannt haben, die TLS 1.0 oder 1.1 nutzen.

Vergessen Sie nicht, Webserver wie Apache oder Microsoft IIS, .NET Framework, Serverüberwachungsagenten und andere kommerzielle Anwendungen zu prüfen, die es benutzen könnten.

Hilfreiche Ressourcen

Bei so vielen unterschiedlichen Systemtypen, die von TLS abhängig sein können, können wir nicht alle verfügbaren Upgrade-Pfade abdecken. Aber hier sind ein paar Referenzen, die helfen könnten:

compliance

Die neuen Compliance-Anforderungen für Private SSL-Zertifikate von Apple

Apple kündigte kürzlich einige neue Sicherheitsanforderungen für SSL/TLS-Zertifikate an, die mit der Veröffentlichung von iOS 13 und macOS 10.15 in Kraft treten werden. Diese Anforderungen betreffen private Zertifikate, die nach dem 1. Juli 2019 ausgestellt wurden.

Für Ihre öffentlichen DigiCert-SSL-/TLS-Zertifikate ist keine Aktion erforderlich.

Die öffentlichen DigiCert-SSL-/TLS-Zertifikate erfüllen bereits alle diese Sicherheitsanforderungen. Ihre öffentlichen SSL-/TLS-Zertifikate sind nicht davon betroffen bleiben auch in iOS 13 und macOS 10.15 vertrauenswürdig.

Was ist neu?

Apple implementiert zusätzliche Sicherheitsanforderungen für alle SSL-/TLS-Zertifikate, die sich gemäß Design auf private SSL-/TLS-Zertifikate auswirken. Siehe Anforderungen an vertrauenswürdige Zertifikate in iOS 13 und macOS 10.15.

Private DigiCert-SSL/TLS-Zertifikate erfüllen diese Anforderungen, wenn sie von Kontoadministratoren gemäß den öffentlichen Zertifikatsanforderungen ausgestellt wurden.

Wir haben unten eine Liste der Anforderungen die Auswirkungen auf Ihre privaten SSL-/TLS-Zertifikate haben können. Die Freigabe dieser Versionen ist von Apple OS für den Herbst dieses Jahres geplant. Das bedeutet, dass Sie sich jetzt vorbereiten müssen.

Neue private SSL/TLS-Zertifikatsanforderungen:

  • Muss einen Algorithmus aus der SHA-2-Familie im Signatur-Algorithmus verwenden. SHA-1-signierte SSL/TLS-Zertifikate sind nicht mehr vertrauenswürdig.
  • Muss eine Laufzeit von maximal 825 Tagen haben. SSL/TLS-Zertifikate mit einer Laufzeit von mehr als 825 Tagen nicht mehr vertrauenswürdig.

Was können Sie tun?

Falls das Vertrauen von Apple iOS und macOS für Ihre privaten SSL/TLS-Zertifikate erforderlich ist, stellen Sie sicher, dass private SSL/TLS-Zertifikate, die nach dem 1. Juli 2019 ausgestellt wurden, ihren Anforderungen gerecht werden. Falls Sie Zertifikate finden, die die Anforderungen nicht erfüllen, können Sie Folgendes tun:

compliance

Firefox beendet Support für Schlüsselgenerierung

Mit der Version 69 beendet Firefox endgültig den Support für Schlüsselgenerierung (Keygen). Firefox nutzt Keygen, um das Generieren von Schlüsselmaterial für die Übermittlung des öffentlichen Schlüssels bei der Generierung von Code Signing-, Client- und SMIME-Zertifikaten.

Hinweis: Chrome hat den Support für Schlüsselgenerierung bereits beendet und Edge und Opera haben sie nie unterstützt.

Was bedeutet das für Sie?

Nach der Ausstellung Ihres Code Signing-, Client- oder SMIME-Zertifikats durch DigiCert erhalten Sie eine E-Mail mit einem Link zur Erstellung und Installation Ihres Zertifikats.

Sobald Firefox 69 freigegeben ist, können Sie diese Zertifikate nur noch mit zwei Browsern generieren: Internet Explorer und Safari. Falls Ihre Unternehmensrichtlinie die Nutzung von Firefox vorschreibt, können Sie Firefox ESR oder eine portable Kopie von Firefox nutzen.

Weitere Informationen finden Sie in Firefox beendet mit Version 69 den Keygen-Support.

Tipps und Tricks

  • Sie können Firefox 69 weiterhin für die Client-Authentifizierung verwenden. Generieren Sie zunächst das SMIME-Zertifikat in IE 11 oder Safari. Importieren Sie dann das SMIME-Zertifikat nach Firefox.
  • Um die Generierung von Code Signing-, Client- oder SMIME-Zertifikaten in Ihrem Browser zu umgehen, können Sie ein CSR generieren und mit Ihrem Auftrag senden. Statt eines Links sendet Ihnen DigiCert eine E-Mail mit Ihrem Zertifikat im Anhang.
new

Wir fügten einen neuen Status, Per E-Mail an Empfänger gesendet, zu den Seiten Aufträge und Auftragsdetails für Code Signing- and Client-Zertifikatsaufträge hinzu, um deutlicher erkennbar zu machen, wo sich diese Aufträge im Neuausstellungsprozess befinden.

Diese neue Status signalisiert, dass DigiCert den Auftrag validiert hat und das Zertifikat darauf wartet, dass der Benutzer/E-Mail-Empfänger es in einem der unterstützten Browser generiert: IE 11, Safari, Firefox 68 und portables Firefox.

(Klicken Sie im Menü der Seitenleiste auf Zertifikate > Aufträge. Klicken Sie dann auf der Seite „Aufträge“ auf die Auftragsnummer für den Code Signing- oder Client-Zertifikatsauftrag.)

enhancement

Wir aktualisierten unseren Neuausstellungsprozess für Erweiterte Validierung (EV) Code Signing (CS) und Document Signing (DS)-Zertifikate, sodass Sie diese Zertifikate neu ausstellen lassen können, ohne das aktuelle Zertifikat automatisch zu widerrufen (Original oder zuvor neu ausgestelltes Zertifikat).

Hinweis: Falls Sie das aktuelle Zertifikat (Original oder zuvor neu ausgestelltes Zertifikat) nicht benötigen, wenden Sie sich an unseren Support, damit dieser es für Sie widerrufen kann.

Wenn Sie das nächste Mal ein EV CS- oder DS-Zertifikat neu ausstellen lassen, können Sie das zuvor ausgestellte Zertifikat für die aktuelle Gültigkeitsdauer (oder solange Sie es benötigen) aktiv lassen.

compliance

Erinnerung an die Compliance mit den Branchenstandards

Bei öffentlichen und privaten Zertifikaten akzeptieren Zertifizierungsstellen (ZS) für diese Teile einer Adresse im Vorabvalidierungsantrag Ihres Zertifikatsauftrags oder Ihrer Organisation keine Abkürzungen:

  • Bundesland*
  • Stadt*

* Dies gilt für Adressen der Organisation und des Gerichtsstands.

new

Wir erleichterten die Definition des Domänenvalidierungsumfangs für Ihr Konto bei der Beantragung der Domänenvalidierung (Vorabvalidierung oder per Zertifikatsauftrag).

Auf der Seite „Abteilungsvoreinstellungen“ fügten wir zwei Optionen zum Domänenvalidierungsumfang hinzu:

  • Genaue Domänennamen für die Validierung übermitteln
    Bei dieser Option werden Anträge für neue Domänen genau so zur Validierung geschickt wie sie benannt sind (Bsp.: Der Antrag für sub.example.com wird genau als sub.example.com zur Validierung geschickt). Die Validierung von Domänen der “übergeordneten Ebene” (z. B. example.com) funktioniert auch. Dies ist das Standardverhalten für CertCentral.
  • Beschränken der Validierung auf Basisdomäne
    Diese Option erlaubt Ihnen, die Domänenvalidierung auf die Basisdomäne (z. B. example.com) zu beschränken. Bei Anträgen, die neue Unterdomänen (z. B. sub.example.com) enthalten, akzeptieren wir nur eine Domänenvalidierung für die Basisdomäne (z. B. example.com). Eine Validierung der Unterdomäne (z. B. sub.example.com) würde nicht funktionieren.

Um den Domänenvalidierungsumfang für Ihr Konto zu konfigurieren, klicken Sie im Menü der Seitenleiste auf Einstellungen > Voreinstellungen. Erweitern Sie auf der Seite „Abteilungsvoreinstellungen“ Erweiterte Einstellungen. Im DCV-Abschnitt unter Domänenvalidierungsumfang, sehen Sie die neuen Einstellungen.

fix

Wir beseitigten einen Fehler, durch den wir die Anzahl der zulässigen SANS auf Aufträgen für Neuausstellung von Wildcard SSL-Zertifikaten und neuen Zertifikaten auf 10 beschränkten.

Jetzt können Sie zu Aufträgen neu ausgestellter oder neuer Wildcard SSL-Zertifikate bis zu 250 SANs hinzufügen.

compliance

Änderung der Branchenstandards

Ab dem 31. Juli 2019 (19:30 Uhr UTC) müssen Sie die DCV-Methode HTTP-Praxisbeispiel zum Nachweis der Kontrolle über IP-Adressen auf Ihren Zertifikatsaufträgen verwenden.

Weitere Informationen zur DCV-Methode HTTP-Praxisbeispiel:

Bisher pflegten Branchenstandards andere DCV-Methoden zum Nachweis der Kontrolle über Ihre IP-Adresse zuzulassen. Mit der Abstimmung SC7 wurden jedoch die Vorschriften für die Validierung der IP-Adresse geändert.

Abstimmung SC7: Validierungsmethoden zur Aktualisierung der IP-Adresse

Dieser Abstimmung definiert die zulässigen Prozesse und Verfahren für die Validierung der Kundenkontrolle über eine in einem Zertifikat gelistete IP-Adresse neu. Die Compliance-Änderungen gemäß Abstimmung SC7 treten am 31 Juli 2019 (19:30 Uhr UTC) in Kraft.

Um nach dem 31. Juli 31 2019 (19:30 Uhr UTC) mit den Vorschriften konform zu bleiben, gestattet DigiCert seinen Kunden nur noch die DCV-Methode HTTP-Praxisbeispiel zum Validieren ihrer IP-Adressen.

Beenden des Supports für IPv6

Seit dem 31. Juli 2019 (19:30 UTC) hat DigiCert den Support von Zertifikaten für IPv6-Adressen eingestellt. Aufgrund von Serverbeschränkungen ist DigiCert nicht in der Lage, eine IPv6-Adresse zu erreichen, um die Datei zu prüfen, die auf der Website de Kunden für die DCV-Methode HTTP-Praxisbeispiel liegt.

enhancement

Wir haben die CertCentral-SAML-Verbundeinstellungen aktualisiert, sodass Sie die Möglichkeit haben, die Anzeige Ihres Verbundnamens in der Liste der IdPs auf den Seiten IdP-Einmaliges Anmelden für SAML-SSO und IdP-Auswahl für SAML-Zertifikatsanträge zu unterdrücken.

Auf der Seite der Verbundeinstellungen unter Ihren IDP-Metadaten haben wir nun die Option Verbundnamen einbeziehen hinzugefügt. Falls Sie Ihren Verbundnamen aus der Liste der IdPs auf der Seite IdP-Auswahl entfernen möchten,, deaktivieren Sie einfach die Option Fügen Sie meinen Verbundnamen zur Liste der IdPs hinzu.

new

Secure Site Pro TLS/SSL-Zertifikate sind in CertCentral verfügbar. Bei Secure Site Pro zahlen Sie pro Domäne; keine Zertifikatsbasiskosten. Fügen Sie eine Domäne hinzu, zahlen Sie für eine. Benötigen Sie neun Domänen, Zahlen Sie für neun. Schützen Sie bis zu 250 Domänen mit einem Zertifikat.

Wir bieten zwei Arten Secure Site Pro-Zertifikate an, eine für OV-Zertifikate und eine für EV-Zertifikate.

  • Secure Site Pro SSL
    Das OV-Zertifikat, das zu Ihren Anforderungen passt. Bietet Verschlüsselung und Authentifizierung für eine Domäne, einen Wildcard-Domäne und alle zugehörigen Unterdomänen, oder Sie verwenden SANs (Subject Alternative Names), um mehrere Domänen und Wildcard-Domänen mit nur einem Zertifikat zu schützen.
  • Secure Site Pro EV SSL
    Das EV-Zertifikat, das zu Ihren Anforderungen passt. Bietet Verschlüsselung und Authentifizierung zum Schutz einer Domäne oder Sie verwenden SANs (Subject Alternative Names), um mehrere Websites (vollqualifizierte Domänennamen) mit einem Zertifikat zu schützen.

Vorteile jedes Secure Site Pro-Zertifikats

Jedes Secure Site Pro-Zertifikat umfasst – ohne Extrakosten – sofortigen Zugriff auf zukünftige Premium Feature-Ergänzungen für CertCentral (z. B. die CT-Protokollüberwachung und Validierungsmanagement).

Weitere Vorteile sind:

  • Validierung mit Priorität
  • Support mit Priorität
  • Zwei Premium-Standortsiegel
  • Malware-Prüfung
  • Branchenführende Garantien

Um Secure Site Pro-Zertifikate für Ihr CertCentral-Konto zu aktivieren, wenden Sie sich an Ihren Kundenbetreuer oder unser Supportteam.

Weitere Informationen über unsere Secure Site Pro-Zertifikate: DigiCert Secure Site Pro.

compliance

Öffentliche SSL-Zertifikate können Domänennamen mit Unterstrichen ("_") nicht mehr schützen. Alle bereits ausgestellten Zertifikate mit Unterstrichen in Domänennamen müssen vor diesem Datum ablaufen.

Hinweis: Die bevorzugte Lösung für Unterstriche ist die Umbenennung der Hosts (FQDNs), welche Unterstriche enthalten, und das Ersetzen der Zertifikate. In Fällen jedoch, in denen das Umbenennen nicht möglich ist, können Sie private Zertifikate und in einigen Fällen ein Wildcard-Zertifikat benutzen, um die gesamte Domäne zu schützen.

Weitere Details: Beseitigen von Unterstrichen in Domänennamen.

compliance

Anforderungen der Branchenstandards an die Aufnahme der Erweiterung CanSignHttpExchanges in ein ECC-SSL/TLS-Zertifikat:

  • CAA-Ressourceneintrag für die Domäne, die den "cansignhttpexchanges=yes"-Parameter einbezieht*
  • ECC-Schlüsselpaar (Elliptic Curve Cryptography)
  • CanSignHttpExchanges-Erweiterung
  • Maximale Laufzeit 90 Tage*
  • Nur für Signed HTTP Exchange

* Hinweis: Diese Anforderungen gilt ab 1. Mai 2019. Die Erweiterung Signed HTTP Exchange befindet sich in Entwicklung. Im Rahmen der weiteren Entwicklung können sich die Anforderungen noch ändern.

Die Anforderung einer Maximallaufzeit von 90 Tagen für das Zertifikat hat keinen Einfluss auf vor dem 1. Mai 2019 ausgestellte Zertifikate. Bei Zertifikaten, die erneut ausgestellt werden, wird die Laufzeit auf 90 Tage ab dem Zeitpunkt der Neuausstellung gekürzt. Sie können das Zertifikat jedoch weiterhin für die volle bezahlte Laufzeit neuausstellen.

CanSignHttpExchanges-Erweiterung

Vor kurzem fügten wir eine neues Zertifikatsprofil HTTP Signed Exchanges hinzu, um dem AMP-URL-Anzeigeproblem zu begegnen, durch das Ihre Marke nicht in der Adresszeile angezeigt wird. Bessere AMP-URLs mit Signed HTTP Exchange

Dieses neue Profil ermöglicht Ihnen, die CanSignHttpExchanges-Erweiterung in OV- und EV-SSL/TLS-Zertifikate einzubeziehen. Sobald es für Ihr Konto aktiviert ist, wird die Option Einbeziehen der CanSignHttpExchanges-Erweiterung in das Zertifikat auf Ihren OV- und EV-SSL/TLS-Antragsformularen unter Zusätzliche Zertifikatsoptionen angezeigt. Siehe So erhalten Sie Ihr Signed HTTP Exchange-Zertifikat.

Um dieses Zertifikatsprofil für Ihr Konto zu aktivieren, wenden Sie sich an Ihren Kundenbetreuer oder unser Supportteam.

compliance

Zertifizierungsstellen (CAs) stellen keine öffentlichen 30-Tage-SSL-Zertifikate mit Unterstrichen in Domänennamen (allgemeinen Namen und SANs) mehr aus.

Hinweis: Die bevorzugte Lösung für Unterstriche ist die Umbenennung der Hosts (FQDNs), welche Unterstriche enthalten, und das Ersetzen der Zertifikate. In Fällen jedoch, in denen das Umbenennen nicht möglich ist, können Sie private Zertifikate und in einigen Fällen ein Wildcard-Zertifikat benutzen, um die gesamte Domäne zu schützen.

Weitere Details: Beseitigen von Unterstrichen in Domänennamen.

compliance

Letzter Tag für die Bestellung 30-tägiger öffentlicher SSL-Zertifikate mit Unterstrichen in Domänennamen (allgemeine Namen und SANs) bei einer beliebigen CA.

Hinweis: Die bevorzugte Lösung für Unterstriche ist die Umbenennung der Hosts (FQDNs), welche Unterstriche enthalten, und das Ersetzen der Zertifikate. In Fällen jedoch, in denen das Umbenennen nicht möglich ist, können Sie private Zertifikate und in einigen Fällen ein Wildcard-Zertifikat benutzen, um die gesamte Domäne zu schützen.

Weitere Details: Beseitigen von Unterstrichen in Domänennamen.

compliance

Sie brauchen nichts zu tun.

Ab 13. Februar 2019 stellt DigiCert keine ECC TLS/SSL-Zertifikate (d. h. Zertifikate mit ECDSA-Schlüsseln) mit dem Curve-Hash-Paar P-384 mit SHA-2 512 (SHA-512) mehr aus. Dieses Curve-Hash-Paar ist mit der Stammspeicherrichtlinie von Mozilla nicht kompatibel.

Stammspeicherrichtlinie von Mozilla unterstützt nur diese Curve-Hash-Paare:

  • P‐256 mit SHA-256
  • P‐384 mit SHA-384

Hinweis: Sie haben ein Zertifikat mit einem P-384 mit SHA-512 Curve-Hash-Paar? Keine Sorge! Sobald das Zertifikat verlängert wird, wird es automatisch mithilfe eines unterstützten Curve-Hash-Paars ausgestellt.

compliance

Die Zertifizierungsstellen (Certificate Authorities, CAs) widerriefen bis zum Tagesende (UTC) alle öffentlichen SSL-Zertifikate mit Unterstrichen (im allgemeinen Namen und in den SANs) mit einer Höchstlaufzeit von mehr als 30 Tagen.

Falls Sie ein SSL-Zertifikat mit Gesamtlaufzeit von mehr als 30 Tagen hatten (schließt alle 1-Jahres-, 2-Jahres- und 3-Jahres-Zertifikate ein), das nach dem 14. Januar 2019 abgelaufen ist, musste die ausstellende Zertifizierungsstelle Ihr Zertifikat widerrufen.

Weitere Details: Beseitigen von Unterstrichen in Domänennamen.

compliance

DigiCert begann für begrenzte Zeit, öffentliche SSL-Zertifikate mit Unterstrichen auszustellen.

  • Die maximale Laufzeit für öffentliche SSL-Zertifikate mit Unterstrichen in Domänennamen betrug 30 Tage.
  • Unterstriche in Basisdomänen sind unzulässig ("example_domain.com" ist nicht erlaubt).
  • Unterstriche sind im äußersten linken Domänen-Label unzulässig ("_example.domain.com" und "example_domain.example.com" sind nicht erlaubt).

Weitere Details: Beseitigen von Unterstrichen in Domänennamen.

new

Im obersten Menü haben wir zwei neue Kontakt-Support-Optionen (Symbole für Telefon und Chat) hinzugefügt, um es innerhalb von CertCentral zu vereinfachen, sich an den Support zu wenden (per E-Mail, Chat oder Telefon).

Das Telefonsymbol bietet Ihnen E-Mail- und Telefonoptionen. Das Chat-Symbol bietet Ihnen ein Chat-Fenster, um mit einem unserer speziell geschulten Supportmitarbeiter zu chatten.

enhancement

Wir verbesserten das Menü der Seitenleiste, sodass Sie leichter die Menüoptionen für die Seiten sehen können, die Sie besuchen. Wenn sie jetzt auf eine Seite in CertCentral gehen, sehen Sie neben der Option für diese Seite einen horizontalen blauen Balken.

fix

Wir beseitigten einen Fehler der Funktion Organisation hinzufügen auf SSL/TLS-Zertifikatsantragsformularen, durch den der Validierungsstatus (EV- und OV-validiert) für neue Organisationen, die im Rahmen des Zertifikatsauftrags hinzugefügt und validiert wurden, nicht angezeigt wurde.

Das haben wir nun geändert.

Hinweis: Der Validierungsstatus einer Organisation wird erst angezeigt, wenn wir die Organisation vollständig validiert haben.

compliance

Änderung der Branchenstandards-Compliance Bei öffentlich vertrauenswürdigen Zertifikaten dürfen Unterstriche ( _ ) nicht mehr in Unterdomänen verwendet werden. RFC 5280 wird nun auch für Unterdomänen durchgesetzt.

Siehe Öffentlich vertrauenswürdige Zertifikate – Dateneinträge, die gegen Branchenstandards verstoßen.

August 1, 2018

compliance

Die Branchenstandards wurden geändert und zwei DCV-Methoden wurden aus den Mindestanforderungen (Baseline Requirements, BRs) entfernt.

Ab dem 1. August 2018 dürfen Zertifizierungsstellen die folgenden DCV-Methoden nicht mehr verwenden:

  • 3.2.2.4.1 Validierung des Antragsteller als Domänenkontakt
    Bei dieser Methode konnte eine CA die Kontrolle des Zertifikatsantragstellers über eine Domäne auf einem SSL/TLS-Auftrag validieren, indem sie bestätigte, dass der Antragsteller der Domänenkontakt direkt mit der Domänennamen-Registrierungsstelle ist.
  • 3.2.2.4.5 Domänenautorisierungsdokument
    Bei dieser Methode konnte eine CA die Kontrolle des Zertifikatsantragstellers über eine Domäne auf einem SSL/TLS-Auftrag validieren anhand der Bestätigung der Berechtigung des Antragstellers, ein Zertifikat für die betreffende Domäne zu bestellen, wie in einem Domänenautorisierungsdokument festgehalten.
    Siehe Abstimmung 218: Entfernen der Validierungsmethoden 1 und 5

Weitere Informationen über die verfügbaren DCV-Methoden finden Sie unter DCV-Methoden (Domain Control Validation).

Mai 25, 2018

compliance

DigiCert-Compliance mit der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist ein Gesetz der Europäischen Union zum Schutz von Daten und Privatsphäre für alle Personen innerhalb der EU. Das primäre Ziel ist es, den Bürgern und Bewohnern der EU mehr Kontrolle über Ihre personenbezogenen Daten zu geben und durch die Vereinheitlichung der Vorschriften innerhalb der EU das regulatorische Umfeld für internationale Geschäfte zu vereinfachen. Die DSGVO trat am 25. Mai 2018 in Kraft. Weitere Details »

Die DigiCert-Erklärung

DigiCert versteht und befolgt die Anforderungen der DSGVO. Wir waren bereits in Übereinstimmung mit der DSGVO, als sie am 25. Mai 2018 in Kraft trat. Siehe Einhaltung der Datenschutz-Grundverordnung (DSGVO).

compliance

Auswirkungen der DSGVO auf WHOIS-basierte E-Mail-DCV (Domain Control Validation)

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Die DSGVO verlangt Datenschutz für natürliche Personen (nicht juristische Personen), die ihren Wohnsitz innerhalb der Europäischen Union (EU) haben.

DigiCert arbeitete mit ICANN, um die WHOIS-Daten verfügbar zu halten. ICANN kündigte an, dass es weiterhin Registrierungen und Registrierungsstellen benötigen wird, um mit ein paar Änderungen zur Einhaltung der DSGVO Informationen an WHOIS zu übermitteln. Siehe Anmerkungen zu WHOIS, DSGVO und Domänenvalidierung.

Verwenden Sie WHOIS-basierte E-Mail-Domänenvalidierung?

Prüfen Sie, ob Ihre Domänenregistrierung eine anonymisierte E-Mail oder ein Internetformular als Möglichkeit für Zertifizierungsstellen verwendet, DSGVO-konform auf WHOIS-Daten zuzugreifen.

Um den Validierungsprozess möglichst effizient zu halten, fordern Sie Ihre Registrierung auf, entweder weiterhin vollständig veröffentlichte Einträge oder eine anonymisierte E-Mail-Adresse für Ihre Domänen zu verwenden. Mit diesen Optionen wird sichergestellt, dass es minimale bis keine Auswirkungen auf unsere Validierungsprozesse hat.

Verwendet Ihre Registrierung eine anonymisierte E-Mail oder ein Internetformular als Möglichkeit für Zertifizierungsstellen auf WHOIS-Daten zuzugreifen? Falls ja, können wir die DCV-E-Mail an die Adressen senden, die in Ihrem WHOIS-Eintrag aufgelistet sind.

Maskiert oder entfernt Ihre Registrierungsstelle E-Mail-Adressen? Falls dem so ist, müssen Sie eine der anderen Methoden zum Nachweis der Kontrolle über Ihre Domänen verwenden:

  • Konstruierte E-Mail-Adressen
  • DNS TXT
  • DNS CNAME
  • HTTP-Praxisbeispiel

Weitere Informationen über konstruierte E-Mail-Adressen und alternative DCV-Methoden finden Sie unter DCV-Methoden (Validierung der Domänenkontrolle).

Mai 10, 2018

compliance

Die Branchenstandards erlauben es einer Zertifizierungsstelle (CA), ein TLS-SSL-Zertifikat für eine Domäne auszustellen, die nur CAA-Einträge ohne "issue"-/"issuewild"-Eigenschaften-Tags hat.

Falls eine CA die CAA RRs einer Domäne abfragt und nur Dateneinträge ohne "issue"- oder "issuewild"-Eigenschaften-Tags findet, kann sie dies als Erlaubnis interpretieren, ein SSL/TLS-Zertifikat für diese Domäne auszustellen. Siehe Abstimmung 219: Klärung von CAA Record Sets ohne "issue"/"issuewild"-Eigenschafts-Tag.

Weitere Informationen über die CAA-RR-Prüfung finden Sie auf unserer Seite DNS CAA Resource Record Check.

April 1, 2018

compliance

Im Rahmen des branchenweiten Wechsels weg von TLS 1.0/1.1 und um unsere PCI-Compliance zu wahren, deaktivierte DigiCert TLS 1.0/1.1 am 1. April 2018. In der Folge unterstützt DigiCert nur noch TLS 1.2 und höher. Siehe Das Aus für TLS 1.0 und 1.1.

März 2, 2018

compliance

DigiCert implementiert eine verbesserte Überprüfung der Organisationseinheiten (OU).

Nach grundlegenden Anforderungen:

"Die CA WIRD einen Prozess implementieren, der verhindert, dass ein OU-Attribut einen Namen, einen DBA-Namen, einen Handelsnamen, eine Marke, eine Adresse, einen Standort oder anderen Text enthält, der sich auf eine bestimmte natürliche oder juristische Person bezieht, sofern die CA diese Information nicht in Übereinstimmung mit Abschnitt 11.2 ... geprüft hat."

Hinweis: Das OU-Feld ist ein optionales Feld. Es ist nicht erforderlich, eine Organisationseinheit in einen Zertifikatsantrag aufzunehmen.

compliance

Ab dem 1. März 2018 beträgt die maximale Laufzeit für erneut (oder als Duplikat) ausgestellte öffentliche 3-Jahres-SSL/TLS-Zertifikate 825 Tage.

Bei einem 3-Jahres-OV-Zertifikat, das am 1. März 2017 ausgestellt wurde, bedenken Sie, dass alle während des ersten Jahres der Laufzeit erneut ausgestellten oder duplizierten Zertifikate eine kürzere Laufzeit als das "Originalzertifikat" haben und deshalb zuerst ablaufen werden. Siehe
Wie wirkt sich das auf meine 3-Jahres-Zertifikatneuausstellungen und -duplikate aus?.

Februar 21, 2018

compliance

Ab 21. Februar 2018 bietet DigiCert aufgrund von Änderungen der Branchenstandards, die die maximale Laufzeit eines öffentlichen SSL-Zertifikats auf 825 Tage (ca. 27 Monate) begrenzen, nur noch 1- und 2-jährige öffentliche SSL-/TLS-Zertifikate an. Siehe 20. Februar 2018, letzter Tag für neue 3-Jahres-Aufträge von Zertifikaten.

compliance

Dies dient nur Informationszwecken. Es ist keine Aktion erforderlich.

Ab 1. Februar 2018 veröffentlicht DigiCert alle neu ausgestellten öffentlichen SSL-/TLS-Zertifikate in öffentlichen CT-Protokollen. OV-Zertifikate, die vor dem 1. Februar 2018 ausgestellt wurden sind davon nicht betroffen. Beachten Sie, dass die CT-Protokollierung für EV-Zertifikate bereits seit 2015 verlangt wird. Siehe DigiCert-Zertifikate werden ab 1. Febr. öffentlich protokolliert.

enhancement

Neue Funktion "Ausschluss von der CT-Protokollierung bei der Bestellung eines Zertifikats" zu CertCentral hinzugefügt. Wenn Sie diese Funktion aktivieren (Einstellungen > Voreinstellungen), können Kontobenutzer öffentliche SSL-/TLS-Zertifikate von der Protokollierung in öffentlichen CT-Protokollen auf Auftragsbasis ausnehmen.

Bei der Bestellung eines SSL-Zertifikats haben die Benutzer die Option, das SSL/TLS-Zertifikat nicht in öffentlichen CT-Protokollen zu protokollieren. Diese Funktion ist verfügbar, wenn ein Benutzer ein neues Zertifikat beantragt, ein Zertifikat neuausstellen oder verlängern lässt. Siehe CertCentral-CT-Protokollierungsanleitung für öffentliche SSL/TLS-Zertifikate.

enhancement

Es wurde ein neues CT-Protokollierungsfeld (disable_ct) hinzugefügt zu den SSL-Zertifikatsantrags-API-Endpunkten hinzugefügt. Außerdem wurde ein neuer Endpunkt „Ausgestelltes Zertifikat von CT-Protokollierung ausnehmen“ (CT-Status) hinzugefügt. Siehe CertCentral-API-Anleitung zum Ausnehmen öffentlicher SSL/TLS-Zertifikate von der CT-Protokollierung.

Oktober 24, 2017

compliance

Änderungen der Branchenstandards für Prüfungen von CAA-Ressourcen-Einträgen. Änderung der Prüfung von CNAME-Ketten mit 8 oder weniger CNAME-Einträgen, wobei die Suche nicht das übergeordnete Ziel eines CNAME-Eintrags umfasst. Siehe DNS-CAA-Dateneintragsprüfung

September 8, 2017

compliance

Änderungen der Branchenstandards bei der Ausstellung von Zertifikaten. Bei der Zertifikatsausstellung werden nun DNS-CAA-Dateneinträge überprüft. Siehe DNS-CAA-Dateneintragsprüfung

Juli 28, 2017

compliance

Compliance-Änderungen der Branchenstandards; verbesserte RFC 5280-Prüfung von Verletzungen und -Zwangsmaßnahmen. Siehe Öffentlich vertrauenswürdige Zertifikate – Dateneinträge, die gegen Branchenstandards verstoßen

Juli 21, 2017

compliance

Änderung der Validierung in den Branchenstandards Validierungsinformationen (DCV oder Organisation), die älter als 825 Tage sind, müssen neu validiert werden, bevor ein Zertifikat neu ausgestellt, verlängert oder ausgestellt werden kann. Weitere Details »

Juli 10, 2017

compliance

Compliance-Änderungen der Branchenstandards; erweiterte Unterstützung für zusätzliche DCV-Methoden. Siehe Domänenvorabvalidierung: DCV-Methoden (Domain Control Validation).