Filtern nach: intermediate CA certificates x Löschen
compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

enhancement

CertCentral Services API: Auto-reissue support for Multi-year Plans

We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.

You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.

Enable auto-reissue for a new order

To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue.

By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue parameter to 1 in the body of your request.

Example request body:

Example order request body with auto reissue enabled

Note: In new order requests, we ignore the auto_reissue parameter if:

  • The product does not support Multi-year Plans.
  • Multi-year Plans are disabled for the account.

Update auto-reissue setting for existing orders

To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.

Get auto-reissue setting for an existing order

To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue. The auto_reissue parameter returns the current auto-reissue setting for the order.

new

ICA certificate chain selection for public DV flex certificates

We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:

  • GeoTrust DV SSL
  • Thawte SSL 123 DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  • Encryption Everywhere DV

You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.

This feature allows you to:

  • Set the default ICA certificate chain for each supported public DV certificate.
  • Control which ICA certificate chains certificate requestors can use to issue their DV certificate.

Configure ICA certificate chain selection

To enable ICA selection for your account:

  1. Contact your account manager or our Support team.
  2. Then, in your CertCentral account, in the left main menu, go to Settings > Product Settings.
  3. On the Product Settings page, configure the default and allowed intermediates for each supported and available DV certificate.

For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.

new

DigiCert Services API: DV certificate support for ICA certificate chain selection

In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:

Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.

Example DV certificate request:

Example DV TLS certificate request

For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.

compliance

DigiCert stellt die Ausstellung von SHA-1 Code Signing-Zertifikaten ein

Am Dienstag, den 1. Dezember 2020 MST, wird DigiCert die Ausstellung von SHA-1 Code-Signing und SHA-1 EV Code-Signing-Zertifikaten einstellen.

Hinweis: Alle bestehenden SHA-1 Code-Signing/EV Code-Signing-Zertifikate bleiben aktiv, bis sie ablaufen.

Warum nimmt DigiCert diese Änderungen vor?

Um den neuen Industriestandards zu entsprechen, müssen Zertifizierungsstellen (ZS) bis zum 1. Januar 2021 die folgenden Änderungen vornehmen:

  • Es werden keine SHA-1 Code Signing-Zertifikate mehr ausgestellt
  • Es werden keine SHA-1-Zwischenzertifikate und SHA-1-Root-Zertifikate mehr verwendet, um SHA-256-Algorithmus-Code-Signing- und Zeitstempel-Zertifikate auszustellen

Siehe Anhang A in den Grundlegenden Anforderungen für die Ausstellung und Verwaltung von Publicly-Trusted Code Signing-Zertifikaten.

Wie wirken sich die Änderungen bei SHA-1 Code-Signing-Zertifikaten auf mich aus?

Wenn Sie SHA-1 Code-Signing-Zertifikate verwenden, ergreifen Sie bei Bedarf die folgenden Maßnahmen vor dem 1. Dezember 2020:

  • Beziehen Sie Ihre neuen SHA-1-Zertifikate
  • Erneuern Sie Ihre SHA-1-Zertifikate
  • Stellen Sie benötigte SHA-1-Zertifikate neu aus

Weitere Informationen zu den Änderungen vom 1. Dezember 2020 finden Sie in unserem  Knowledgebase-Artikel DigiCert stellt die Ausstellung von SHA-1 Code-Signing-Zertifikate ein.

Falls Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Kundenbetreuer oder unser Supportteam.

new

DigiCert ersetzt mehrere Zwischen-ZS-Zertifikate

Am 2. November 2020 ersetzt DigiCert einen weiteren Satz von Zwischen-CA-Zertifikaten (ICAs). Eine Liste der ICA-Zertifikate, die ersetzt werden, finden Sie in unserem KB-Artikel DigiCert ICA-Aktualisierung

Wie wirkt sich dies auf mich aus?

Die Einführung neuer ICAs hat keine Auswirkungen auf bestehende Zertifikate. Wir entfernen einer alten ICA erst dann aus dem Zertifikatspeicher, wenn alle von ihm ausgestellten Zertifikate abgelaufen sind. Das bedeutet, dass aktive Zertifikate, die von der ersetzten ICA ausgestellt wurden, weiterhin vertrauenswürdig sind.

Es hat jedoch Auswirkungen auf bestehende Zertifikate, wenn Sie diese neu ausstellen, da sie von der neuen ICA ausgestellt werden. Wir raten Ihnen, bei jedem Zertifikat, das Sie installieren, immer die mitgelieferte ICA einzubinden. Dies war schon immer die empfohlene beste Vorgehensweise, um sicherzustellen, dass ICA-Ersetzungen unbemerkt bleiben.

Es besteht kein Handlungsbedarf, es sei denn, Sie führen eine der folgenden Maßnahmen durch:

  • Die alten Versionen der Zwischen-CA-Zertifikate anheften
  • Die Akzeptanz der alten Versionen der Zwischen-CA-Zertifikate fest kodieren
  • Einen Vertrauensspeicher betreiben, der die alten Versionen der Zwischen-CA-Zertifikate enthält

Wenn Sie eines der oben genannten Dinge tun, empfehlen wir, Ihre Umgebung so schnell wie möglich zu aktualisieren. Beenden Sie das Pinning und die feste Kodierung von ICAs oder nehmen Sie die notwendigen Änderungen vor. So stellen Sie sicher, dass die von den neuen ICAs ausgestellten Zertifikate vertrauenswürdig sind (mit anderen Worten, sie können sich mit ihrer aktualisierten ICA und ihrem vertrauenswürdigen Stamm verketten).

Ersatz für Zwischen-CA-Zertifikate

Stellen Sie sicher, dass Sie die unten aufgeführten Seiten überwachen. Diese Seiten sind aktiv und werden regelmäßig mit Informationen zum Austausch von ICA-Zertifikaten und Kopien der neuen DigiCert-Zwischenzertifikate aktualisiert.

Warum ersetzt DigiCert die Zwischen-ZS-Zertifikate?

Wir ersetzen die ICAs, um:

  • Die Kundenagilität durch ICA-Ersatz zu fördern
  • Den Umfang der Zertifikatsausstellung durch eine bestimmte ICA zu reduzieren, um die Auswirkungen von Änderungen der Industriestandards und der Richtlinien des CA/Browser-Forums auf Zwischen- und Endzertifikate abzumildern
  • Die Sicherheit des Internets zu verbessern, indem wir sicherstellen, dass alle ICAs mit den neuesten Verbesserungen arbeiten

Falls Sie Fragen oder Bedenken haben, wenden Sie sich bitte an Ihren Kundenbetreuer oder unser Supportteam.

new

Auswahl der ICA-Zertifikatskette für öffentliche OV- und EV-Flex-Zertifikate

Wir freuen uns, Ihnen mitteilen zu können, dass öffentliche OV- und EV-Zertifikate mit Flex-Funktionen jetzt die Auswahl der Zwischenzertifikatskette unterstützen.

Sie können eine Option zu Ihrem CertCentral-Konto hinzufügen, mit der Sie steuern können, welche DigiCert ICA-Zertifikatskette Ihre öffentlichen OV- und EV-"Flex"-Zertifikate ausstellt.

Diese Option ermöglicht Ihnen:

  • Die Standard-ICA-Zertifikatskette für jedes öffentliche OV- und EV Flex-Zertifikat festzulegen.
  • Zu steuern, welche ICA-Zertifikatsketten Zertifikatsanforderer verwenden können, um ihr Flex-Zertifikat auszustellen.

Die Auswahl der ICA-Zertifikatskette konfigurieren

Um die ICA-Auswahl für Ihr Konto zu deaktivieren, wenden Sie sich an Ihren Kundenbetreuer oder unser Supportteam. Konfigurieren Sie dann in Ihrem CertCentral-Konto auf der Seite Produkteinstellungen (gehen Sie im linken Hauptmenü zu Einstellungen > Produkteinstellungen) die Standard- und erlaubten Zwischenzertifikate für jeden Typ von OV- und EV-Flex-Zertifikaten.

Weitere Informationen und eine schrittweise Anleitung finden Sie unter ICA-Zertifikatskettenoption für öffentliche OV- und EV-Flex-Zertifikate.

new

DigiCert Services API-Unterstützung für die ICA-Zertifikatskettenauswahl

In der DigiCert Services API haben wir die folgenden Aktualisierungen vorgenommen, um die ICA-Auswahl in Ihren API-Integrationen zu unterstützen:

  • Neuer Endpunkt für Produktgrenzen erstellt
    Verwenden Sie diesen Endpunkt, um Informationen über die Grenzen und Einstellungen für die Produkte zu erhalten, die für jede Division in Ihrem Konto aktiviert sind. Dazu gehören ID-Werte für die Standard- und erlaubten ICA-Zertifikatsketten jedes Produkts.
  • Unterstützung für die ICA-Auswahl bei öffentlichen TLS OV- und EV-Flex-Zertifikatsauftragsanforderungen wurde hinzugefügt
    Nachdem Sie zulässige Zwischenstellen für ein Produkt konfiguriert haben, können Sie die ICA-Zertifikatskette auswählen, die Ihr Zertifikat ausstellen soll, wenn Sie die API verwenden, um eine Auftragsanforderung zu übermitteln.
    Übergeben Sie die ID des ausstellenden ICA-Zertifikats als Wert für den Parameter ca_cert_id im Hauptteil Ihrer Auftragsanfrage

Beispiel für einen Flex-Zertifikatsantrag:

Example flex certificate request

Weitere Informationen zur Verwendung der ICA-Auswahl in Ihren API-Integrationen finden Sie unter OV/EV-Zertifikatslebenszyklus - (optionale) ICA-Auswahl.