Filtern nach: reissued certificates x Löschen
new

CertCentral to issue GeoTrust and RapidSSL DV certificates from new intermediate CA certificates

On May 24, 2022, between 9:00 am and 11:00 am MDT (3:00 pm and 5:00 pm UTC), DigiCert will replace the GeoTrust and RapidSSL intermediate CA (ICA) certificates listed below. We can no longer issue maximum validity (397-day) DV certificates from these intermediates.

Old ICA certificates

  • GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
  • GeoTrust TLS DV RSA Mixed SHA256 2021 CA-1
  • RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
  • RapidSSL TLS DV RSA Mixed SHA256 2021 CA-1

New ICA certificates

  • GeoTrust Global TLS RSA4096 SHA256 2022 CA1
  • RapidSSL Global TLS RSA4096 SHA256 2022 CA1

See the DigiCert ICA Update KB article.

How does this affect me?

Rolling out new ICA certificates does not affect your existing DV certificates. Active certificates issued from the replaced ICA certificates will remain trusted until they expire.

However, all new certificates, including certificate reissues, will be issued from the new ICA certificates. To ensure ICA certificate replacements go unnoticed, always include the provided ICA certificate with every TLS certificate you install.

No action is required unless you do any of the following:

  • Pin the old versions of the intermediate CA certificates
  • Hard code the acceptance of the old versions of the intermediate CA certificates
  • Operate a trust store that includes the old versions of the intermediate CA certificates

Action required

If you practice pinning, hard code acceptance, or operate a trust store, update your environment as soon as possible. You should stop pinning and hard coding ICA certificates or make the necessary changes to ensure your GeoTrust DV and RapidSSL DV certificates issued from the new ICA certificates are trusted. In other words, make sure they can chain up to their new ICA certificate and trusted root.

See the DigiCert Trusted Root Authority Certificates page to download copies of the new Intermediate CA certificates.

What if I need more time?

If you need more time to update your environment, you can continue to use the old 2020 ICA certificates until they expire. Contact DigiCert Support, and they can set that up for your account. However, after May 31, 2022, RapidSSL DV and GeoTrust DV certificates issued from the 2020 ICA certificates will be truncated to less than one year.

fix

We fixed a bug that changes the reissue workflow for DV certificates. After August 24, 2021, when you reissue a DV certificate and change or remove SANs, the original certificate and any previously reissued or duplicate certificates are revoked after a 72-hour delay.

compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

compliance

DigiCert stellt die Ausstellung von SHA-1 Code Signing-Zertifikaten ein

Am Dienstag, den 1. Dezember 2020 MST, wird DigiCert die Ausstellung von SHA-1 Code-Signing und SHA-1 EV Code-Signing-Zertifikaten einstellen.

Hinweis: Alle bestehenden SHA-1 Code-Signing/EV Code-Signing-Zertifikate bleiben aktiv, bis sie ablaufen.

Warum nimmt DigiCert diese Änderungen vor?

Um den neuen Industriestandards zu entsprechen, müssen Zertifizierungsstellen (ZS) bis zum 1. Januar 2021 die folgenden Änderungen vornehmen:

  • Es werden keine SHA-1 Code Signing-Zertifikate mehr ausgestellt
  • Es werden keine SHA-1-Zwischenzertifikate und SHA-1-Root-Zertifikate mehr verwendet, um SHA-256-Algorithmus-Code-Signing- und Zeitstempel-Zertifikate auszustellen

Siehe Anhang A in den Grundlegenden Anforderungen für die Ausstellung und Verwaltung von Publicly-Trusted Code Signing-Zertifikaten.

Wie wirken sich die Änderungen bei SHA-1 Code-Signing-Zertifikaten auf mich aus?

Wenn Sie SHA-1 Code-Signing-Zertifikate verwenden, ergreifen Sie bei Bedarf die folgenden Maßnahmen vor dem 1. Dezember 2020:

  • Beziehen Sie Ihre neuen SHA-1-Zertifikate
  • Erneuern Sie Ihre SHA-1-Zertifikate
  • Stellen Sie benötigte SHA-1-Zertifikate neu aus

Weitere Informationen zu den Änderungen vom 1. Dezember 2020 finden Sie in unserem  Knowledgebase-Artikel DigiCert stellt die Ausstellung von SHA-1 Code-Signing-Zertifikate ein.

Falls Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Kundenbetreuer oder unser Supportteam.

enhancement

Wir verbesserten die Transaktionsübersicht auf den Seiten „Zertifikat für Auftrag erneut ausstellen“, sodass Sie sehen können, wie viele Tage verbleiben, bis das Zertifikat abläuft. Wenn Sie jetzt ein Zertifikat erneut ausstellen, zeigt die Transaktionsübersicht die Laufzeit des Zertifikats und die verbleibenden Tage bis es abläuft (z. B. 1 Jahr (läuft in 43 Tagen ab).

enhancement

In der DigiCert Services-API aktualisierten wir die Endpunkte Aufträge auflisten, Auftragsinfo, Neuausstellungen auflisten, und Zweitzertifikate auflisten, sodass Sie sehen, wie viele Tage verbleiben, bis das Zertifikat abläuft. Für diese Endpunkte senden wir Ihnen einen days_remaining-Parameter in der Antwort.

Example of the days_remaining response parameter.png

enhancement

Wir verbesserten unsere Basic und Secure Site Single-Domain-Zertifikatsangebote (Standard-SSL, EV SSL, Secure Site SSL und Secure Site EV SSL), indem wir die Option Sowohl[your-domain].com als auch www. [your-domain].com in das Zertifikat einbeziehen zu diesen Zertifikatsauftrags-, Neuausstellungs- und Zweitzertifikatsformularen hinzufügten. Mit dieser Option können Sie entscheiden, ob beide Versionen des Allgemeinen Namens (FQDN) kostenlos in diese Single-Domain-Zertifikate aufnehmen möchten.

  • Um beide Versionen den Allgemeinen Namens (FQDN) zu schützen, aktivieren Sie die Option Sowohl[your-domain].com als auch www. [your-domain].com in das Zertifikat einbeziehen.
  • Um nur den Allgemeinen Namen (FQDN) zu schützen, deaktivieren Sie die Option Sowohl[your-domain].com als auch www. [your-domain].com in das Zertifikat einbeziehen.

Siehe Bestellen Ihrer SSL/TLS-Zertifikate.

Funktioniert auch bei Unterdomänen

Mit der neuen Option können Sie beide Versionen von Basis- und Unterdomänen erhalten. Um nun beide Versionen einer Unterdomäne zu schützen, fügen Sie die Unterdomäne zum Feld Allgemeiner Name (sub.domain.com) hinzu, und aktivieren Sie die Option Sowohl[your-domain].com als auch www. [your-domain].com in das Zertifikat einbeziehen. Bei der Ausstellung des Zertifikats durch DigiCert enthält es beide Versionen der Unterdomäne: [sub.domain].com als auch www.[sub.domain].com.

„Verwenden der Plus-Funktion für Unterdomänen“ entfernt

Die Option Sowohl[your-domain].com als auch www. [your-domain].com in das Zertifikat einbeziehen macht die Plus-Funktion – Verwenden der Plus-Funktion für Unterdomänen obsolet. Wir entfernten also die Option auf der Seite „Abteilungsvoreinstellungen“ (im Menü der Seitenleiste auf Einstellungen > Voreinstellungen klicken).

enhancement

In der DigiCert Services-API, aktualisierten wir die unten aufgeführten Endpunkte OV/EV SSL bestellen, SSL bestellen (type_hint), Secure Site SSL bestellen, Private SSL bestellen, Zertifikat erneut ausstellen, und Zweitzertifikat. Durch diese Änderungen haben Sie eine bessere Kontrolle bei der Beantragung, Neuausstellung und Duplizierung Ihrer Single-Domain-Zertifikate. Sie können entscheiden, ob Sie einen bestimmten zusätzlichen SAN kostenlos in diese Single-Domain-Zertifikate einbeziehen möchten.

  • /ssl_plus
  • /ssl_ev_plus
  • /ssl_securesite
  • /ssl_ev_securesite
  • /private_ssl_plus
  • /ssl*
  • /reissue
  • /duplicate

* Hinweis: Verwenden Sie, wie unten beschrieben, für den Endpunkt „SSL bestellen (type_hint)“ nur den dns_names[]-Parameter, um den kostenlosen SAN hinzuzufügen.

Um beide Versionen Ihrer Domäne ([your-domain].com als auch www. [your-domain].com) zu schützen, verwenden Sie in ihrem Antrag den common_name-Parameter, um die Domäne ([your-domain].com) und den dns_names[]-Parameter, um die andere Version der Domäne (www. [your-domain].com).

Bei seiner Ausstellung durch DigiCert schützt das Zertifikat beide Versionen Ihrer Domäne.

example SSL certificte request

Falls Sie nur den allgemeinen Namen (FQDN) schützen möchten, lassen Sie den dns_names[]-Parameter weg.