Mayo 24, 2022
CertCentral to issue GeoTrust and RapidSSL DV certificates from new intermediate CA certificates
On May 24, 2022, between 9:00 am and 11:00 am MDT (3:00 pm and 5:00 pm UTC), DigiCert will replace the GeoTrust and RapidSSL intermediate CA (ICA) certificates listed below. We can no longer issue maximum validity (397-day) DV certificates from these intermediates.
Old ICA certificates
- GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
- GeoTrust TLS DV RSA Mixed SHA256 2021 CA-1
- RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
- RapidSSL TLS DV RSA Mixed SHA256 2021 CA-1
New ICA certificates
- GeoTrust Global TLS RSA4096 SHA256 2022 CA1
- RapidSSL Global TLS RSA4096 SHA256 2022 CA1
See the DigiCert ICA Update KB article.
How does this affect me?
Rolling out new ICA certificates does not affect your existing DV certificates. Active certificates issued from the replaced ICA certificates will remain trusted until they expire.
However, all new certificates, including certificate reissues, will be issued from the new ICA certificates. To ensure ICA certificate replacements go unnoticed, always include the provided ICA certificate with every TLS certificate you install.
No action is required unless you do any of the following:
- Pin the old versions of the intermediate CA certificates
- Hard code the acceptance of the old versions of the intermediate CA certificates
- Operate a trust store that includes the old versions of the intermediate CA certificates
Action required
If you practice pinning, hard code acceptance, or operate a trust store, update your environment as soon as possible. You should stop pinning and hard coding ICA certificates or make the necessary changes to ensure your GeoTrust DV and RapidSSL DV certificates issued from the new ICA certificates are trusted. In other words, make sure they can chain up to their new ICA certificate and trusted root.
See the DigiCert Trusted Root Authority Certificates page to download copies of the new Intermediate CA certificates.
What if I need more time?
If you need more time to update your environment, you can continue to use the old 2020 ICA certificates until they expire. Contact DigiCert Support, and they can set that up for your account. However, after May 31, 2022, RapidSSL DV and GeoTrust DV certificates issued from the 2020 ICA certificates will be truncated to less than one year.
Agosto 23, 2021
We fixed a bug that changes the reissue workflow for DV certificates. After August 24, 2021, when you reissue a DV certificate and change or remove SANs, the original certificate and any previously reissued or duplicate certificates are revoked after a 72-hour delay.
Mayo 27, 2021
Industry moves to 3072-bit key minimum RSA code signing certificates
Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.
- Stop issuing 2048-bit key code signing certificates
- Only issue 3072-bit key or stronger code signing certificates
- Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.
See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,
How do these changes affect my existing 2048-bit key certificates?
All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.
What if I need 2048-bit key code signing certificates?
Take these actions, as needed, before May 27, 2021:
- Order new 2048-bit key certificates
- Renew expiring 2048-bit key certificates
- Reissue 2048-bit key certificates
How do these changes affect my code signing certificate process starting May 27, 2021?
Reissues for code signing certificate
Starting May 27, 2021, all reissued code signing certificates will be:
- 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
- Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.
New and renewed code signing certificates
Starting May 27, 2021, all new and renewed code signing certificates will be:
- 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
- Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.
CSRs for code signing certificates
Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.
eTokens for EV code signing certificates
Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.
- When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
- When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
- You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.
HSMs for EV code signing certificates
Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.
New ICA and root certificates
Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).
RSA ICA and root certificates:
- DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
- DigiCert Trusted Root G4
ECC ICA and root certificates:
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Global Root G3
No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.
If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).
References
- To learn more about the Code Signing certificate changes, see Code signing changes in 2021.
- To get a copy of the new intermediate CA and root certificates, see DigiCert Trusted Root Authority Certificates
If you have questions or concerns, please contact your account manager or our support team.
Diciembre 1, 2020
DigiCert dejará de emitir certificados de firma de código SHA-1
El martes 1 de diciembre de 2020 MST, DigiCert dejará de emitir certificados de firma de código SHA-1 y certificados EV de firma de código SHA-1.
Nota: Todos los certificados de firma de código SHA-1/certificados EV de firma de código existentes seguirán activos hasta que caduquen.
¿Por qué DigiCert está haciendo estos cambios?
Para cumplir con los nuevos estándares de la industria, las autoridades de certificados (CA) deben hacer los siguientes cambios antes del 1 de enero de 2021:
- Dejar de emitir certificados de firma de código SHA-1
- Dejar de usar CA intermedias SHA-1 y certificados raíz SHA-1 para emitir certificados de firma de código de algoritmo SHA-256 y certificados con marca de tiempo
Consulte el Apéndice A en los Requisitos básicos para la emisión y administración de certificados de firma de código con confianza pública.
¿Cómo me afectan los cambios a los certificados de firma de código SHA-1?
Si se basa en los certificados de firma de código SHA-1, tome estas medidas según sea necesario antes del 1 de diciembre de 2020:
- Obtenga sus nuevos certificados SHA-1
- Renueve sus certificados SHA-1
- Vuelva a emitir y obtenga los certificados SHA-1 necesarios
Para obtener más información sobre los cambios del 1 de diciembre de 2020, consulte nuestro artículo de la base de conocimientos DigiCert dejará de emitir certificados de firma de código SHA-1.
Si tiene preguntas adicionales, póngase en contacto con su gestor de cuenta o con nuestro equipo de asistencia.
Julio 15, 2019
Mejoramos el Resumen de transacciones sobre la Reemisión de certificados para las páginas Pedido, lo que le permite ver cuántos días faltan para que caduque el certificado. Ahora cuando reemita un certificado, el Resumen de transacciones mostrará la validez del certificado, junto con los días que faltan para que caduque (por ejemplo, 1 año (caduca en 43 días).
En la API de servicios de DigiCert, actualizamos la Lista de pedidos,, Información del pedido, Lista de reemisiones, y Lista de duplicados que le permiten ver cuántos días faltan para que el certificado caduque. Para estos terminales, se devuelve un parámetro days_remaining en sus respuestas.
Julio 1, 2019
Mejoramos nuestras ofertas de certificados de dominio único básicos y Secure Site (Standard SSL, EV SSL, Secure Site SSL y Secure Site EV SSL), al agregar la opción Incluir tanto[su-dominio].com y www. [su-dominio].com en el certificado para los formularios de pedido, reemisión y duplicado de estos certificados. Esta opción le permite elegir si incluir ambas versiones del nombre común (FQDN) en estos certificados de dominio único de forma gratuita.
![Incluir tanto[su-dominio].com y www. [su-dominio].com en el certificado](https://docs.digicert.com/media/images/opt-out-plus-feature-check-box-1.original.png){kind=link}
- Para proteger ambas versiones del nombre común (FQDN), seleccione Incluir tanto[su-dominio].com y www. [su-dominio].com en el certificado.
- Para proteger solo el nombre común (FQDN), no seleccione Incluir tanto[su-dominio].com y www. [su-dominio].com en el certificado.
Vea Pedir sus certificados SSL/TLS.
Trabajos para subdominios también
La nueva opción le permite obtener ambas versiones del dominio base y de los subdominios. Ahora puede proteger ambas versiones de un subdominio, agregar el subdominio a la casilla Nombre común (sub.dominio.com) y seleccionar Incluir tanto[su-dominio].com y www. [su-dominio].com en el certificado. Cuando DigiCert emite su certificado, incluirá ambas versiones del subdominio que figura en el certificado: [sub.dominio].com y www.[sub.dominio].com.
Uso eliminado de la función Plus para subdominios
La opción Incluir tanto[su-dominio].com y www. [su-dominio].com en el certificado hace que la función Plus Usar la función Plus para subdominios sea obsoleta. Entonces, puede eliminar la opción desde la página Preferencias de división (en el menú lateral, haga clic en Configuración > Preferencias).
En la API de servicios de DigiCert, actualizamos el Pedido OV/EV SSL, Pedir SSL (type_hint), Pedir Secure Site SSL, Pedir Private SSL, Reemitir certificado, y certificado duplicado. Estos cambios brindan más control al solicitar, reemitir y duplicar sus certificados de dominio único, lo que le permite elegir si incluir un SAN adicional específico en estos certificados de dominio único de forma gratuita.
- /ssl_plus
- /ssl_ev_plus
- /ssl_securesite
- /ssl_ev_securesite
- /private_ssl_plus
- /ssl*
- /reissue
- /duplicate
* Nota: Para el terminal Pedido SSL (type_hint), solo use el parámetro dns_names[] según se describe a continuación para agregar el SAN gratuito.
Para proteger ambas versiones del dominio ([su-dominio].com y www. [su-dominio].com), en su solicitud, use el parámetro common_name para agregar el dominio ([su-dominio].com) y el parámetro dns_names[] a fin de agregar la otra versión del dominio (www. [su-dominio].com).
Cuando DigiCert emite su certificado, protegerá ambas versiones su dominio.
Para proteger el nombre común (FQDN), omita el parámetro dns_names[] desde su solicitud.