Filtro por: intermediate CA certificates x borrar
compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

enhancement

CertCentral Services API: Auto-reissue support for Multi-year Plans

We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.

You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.

Enable auto-reissue for a new order

To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue.

By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue parameter to 1 in the body of your request.

Example request body:

Example order request body with auto reissue enabled

Note: In new order requests, we ignore the auto_reissue parameter if:

  • The product does not support Multi-year Plans.
  • Multi-year Plans are disabled for the account.

Update auto-reissue setting for existing orders

To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.

Get auto-reissue setting for an existing order

To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue. The auto_reissue parameter returns the current auto-reissue setting for the order.

new

ICA certificate chain selection for public DV flex certificates

We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:

  • GeoTrust DV SSL
  • Thawte SSL 123 DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  • Encryption Everywhere DV

You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.

This feature allows you to:

  • Set the default ICA certificate chain for each supported public DV certificate.
  • Control which ICA certificate chains certificate requestors can use to issue their DV certificate.

Configure ICA certificate chain selection

To enable ICA selection for your account:

  1. Contact your account manager or our Support team.
  2. Then, in your CertCentral account, in the left main menu, go to Settings > Product Settings.
  3. On the Product Settings page, configure the default and allowed intermediates for each supported and available DV certificate.

For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.

new

DigiCert Services API: DV certificate support for ICA certificate chain selection

In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:

Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.

Example DV certificate request:

Example DV TLS certificate request

For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.

compliance

DigiCert dejará de emitir certificados de firma de código SHA-1

El martes 1 de diciembre de 2020 MST, DigiCert dejará de emitir certificados de firma de código SHA-1 y certificados EV de firma de código SHA-1.

Nota: Todos los certificados de firma de código SHA-1/certificados EV de firma de código existentes seguirán activos hasta que caduquen.

¿Por qué DigiCert está haciendo estos cambios?

Para cumplir con los nuevos estándares de la industria, las autoridades de certificados (CA) deben hacer los siguientes cambios antes del 1 de enero de 2021:

  • Dejar de emitir certificados de firma de código SHA-1
  • Dejar de usar CA intermedias SHA-1 y certificados raíz SHA-1 para emitir certificados de firma de código de algoritmo SHA-256 y certificados con marca de tiempo

Consulte el Apéndice A en los Requisitos básicos para la emisión y administración de certificados de firma de código con confianza pública.

¿Cómo me afectan los cambios a los certificados de firma de código SHA-1?

Si se basa en los certificados de firma de código SHA-1, tome estas medidas según sea necesario antes del 1 de diciembre de 2020:

  • Obtenga sus nuevos certificados SHA-1
  • Renueve sus certificados SHA-1
  • Vuelva a emitir y obtenga los certificados SHA-1 necesarios

Para obtener más información sobre los cambios del 1 de diciembre de 2020, consulte nuestro artículo de la base de conocimientos DigiCert dejará de emitir certificados de firma de código SHA-1.

Si tiene preguntas adicionales, póngase en contacto con su gestor de cuenta o con nuestro equipo de asistencia.

new

Reemplazo por parte de DigiCert de varios certificados de CA intermedia

El 2 de noviembre de 2020, DigiCert va a reemplazar otro conjunto de certificados de CA intermedia (ICA). Para obtener una lista de los certificados de ICA que se van a reemplazar, consulte nuestro artículo de la base conocimientos Actualización de ICA de DigiCert.

¿Cómo me afecta esto?

La implementación de los nuevos ICA no afecta a los certificados existentes. No quitamos ningún ICA antiguo del almacén de certificados hasta que todos los certificados emitidos desde allí hayan caducado. Esto quiere decir que los certificados activos emitidos desde la ICA reemplazada seguirán siendo de confianza.

No obstante, afectará a los certificados existentes si usted los reemite, ya que se emitirán desde la nueva ICA. Le aconsejamos que siempre incluya la ICA provista con cada certificado que instale. Esta siempre ha sido la práctica recomendada para garantizar que los reemplazos de ICA pasen inadvertidos.

No se requiere ninguna acción a menos que haga algo de lo siguiente:

  • Fijar las versiones antiguas de los certificados CA de intermediarios
  • Forzar la aceptación de las versiones antiguas de los certificados CA de intermediarios
  • Operar una tienda de confianza que incluya las versiones antiguas de los certificados CA de intermediarios

Si hace algo de lo que se menciona anteriormente, recomendamos que actualice su entorno a la mayor brevedad posible. Dejar de fijar o de forzar los ICA, o hacer los cambios necesarios para garantizar que los certificados emitidos a partir de los nuevos ICA sean confiables (en otras palabras, puede encadenar hasta su ICA actualizado y su raíz confiable).

Reemplazos del certificado de CA intermedia

Asegúrese de controlar las páginas que se enumeran a continuación. Estas son páginas activas y se actualizan con frecuencia con la información de reemplazo del certificado de ICA y con las copias de los nuevos certificados de CA intermedia de DigiCert.

¿Por qué DigiCert va a reemplazar los certificados de CA intermedia?

Vamos a reemplazar los ICA para:

  • Fomentar la agilidad del cliente con el reemplazo de ICA
  • Reducir el alcance de la emisión del certificado desde cualquier ICA determinada para mitigar el impacto de los cambios en los estándares de la industria y en las pautas del Foro CA/Navegador para certificados de intermediario y de la entidad final
  • Mejorar la seguridad de Internet garantizando que todas las ICA operen usando las mejoras más recientes

Si tiene preguntas o inquietudes, póngase en contacto con su gestor de cuenta o con nuestro equipo de asistencia.

new

Selección de cadena de certificados ICA para certificados flexibles públicos OV y EV

Nos complace anunciar que los certificados OV y EV públicos con capacidades flexibles ahora admiten la selección de cadena de certificados de CA intermedia.

Puede agregar una opción a su cuenta de CertCentral que le permita controlar qué cadena de certificados de ICA de DigiCert emite sus certificados "flexibles" OV y EV públicos.

Esta opción le permite:

  • Establecer la cadena de certificados ICA predeterminada para cada certificado flexible OV y EV público.
  • Controlar qué cadenas de certificados ICA pueden usar los solicitantes de certificados para emitir su certificado flexible.

Configurar la selección de cadena de certificados ICA

Para habilitar la selección de ICA para su cuenta, póngase en contacto con el gestor de su cuenta o con nuestro Equipo de asistencia. Después, en su cuenta de CertCentral, en la página Configuración del producto (en el menú principal izquierdo, vaya a Configuración > Configuración del producto), configure los intermediarios predeterminados y permitidos para cada tipo de certificado flexible OV y EV.

Para obtener más información e instrucciones paso a paso, consulte Opción de cadena de certificados ICA para certificados flexibles públicos OV y EV.

new

Soporte de la API de servicios de DigiCert para la selección de cadena de certificados ICA

En la API de servicios de DigiCert, hicimos las siguientes actualizaciones para admitir la selección de ICA en sus integraciones de la API:

  • Se creó un nuevo terminal de Límites de productos
    Use este terminal para obtener información sobre los límites y la configuración para los productos habilitados para cada división en su cuenta. Esto incluye los valores de Id. para las cadenas de certificados ICA predeterminadas y permitidas de cada producto.
  • Soporte agregado para la selección de ICA en las solicitudes de pedidos de certificados flexibles OV y EV TLS públicos
    Después de que configure los intermediarios permitidos para un producto, podrá seleccionar la cadena de certificados ICA que debería emitir su certificado cuando usted use la API para enviar una solicitud de pedido.
    Pase la Id. del certificado de ICA emisora como el valor para el parámetro ca_cert_id en el cuerpo de su solicitud de pedido

Ejemplo de solicitud de certificado flexible:

Example flex certificate request

Para obtener más información sobre cómo usar la selección de ICA en sus integraciones de la API, consulte Ciclo de vida de certificado OV/EV: selección de ICA (opcional).