Change log | docs.digicert.com

Janvier 25, 2022

Updates to OV and EV TLS certificate profiles

As we work to align our DV, OV, and EV TLS certificate profiles, we are making a minor change to our OV and EV TLS certificate profiles. Starting January 25, 2022, we will set the Basic Constraints extension to noncritical in our OV and EV TLS certificate profiles.

Note: DV TLS certificates are already issued with the Basic Constraints extension set to noncritical.

What do I need to do?

No action is required on your part. You shouldn't notice any difference in your certificate issuance process.

However, if your TLS certificate process requires the Basic Constraints extension to bet set to critical, contact your account manager or DigiCert Support immediately.

Novembre 16, 2021

File api OV SSL certificates DCV CertCentral domain validation DV SSL certificates http token HTTP Practical Demonstration EV SSL certificates tls certificates FileAuth Services API SSL certificates domain control validation wildcard domains http auth SC45 domain prevalidation file-based DCV

Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)

To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.

To learn more about the industry change, see Domain validation policy changes in 2021.

How does this affect me?

As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:

Validate wildcard domains (*.example.com)
To include subdomains in the domain validation when validating the higher-level domain. For example, if you want to cover www.example.com, when you validate the higher-level domain, example.com.
Prevalidate entire domains and subdomains.

To learn more about the supported DCV method for DV, OV, and EV certificate requests:

CertCentral: Pending certificate requests and domain prevalidation using file-based DCV

Pending certificate request

If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.

*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.

To learn more about the supported DCV methods for DV, OV, and EV certificate requests:

Domain prevalidation

If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.

To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.

CertCentral Services API

If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).

Juin 3, 2021

OV SSL certificates domain validation EV SSL certificates Services API order endpoints

CertCentral Services API: Improved domains array in OV/EV order response

To make it easier to see how the Services API groups the domains on your OV/EV TLS certificate orders for validation, we added a new response parameter to the endpoints for submitting certificate order requests: domains[].dns_name.*

The dns_name parameter returns the common name or SAN of the domain on the order. To prove you control this domain, you must have an active validation for the domain associated with the domains[].name and domains[].id key/value pairs.

Example OV certificate order

JSON payload:

JSON response:

The Services API returns the domains[].dns_name parameter in the JSON response for the following endpoints:

*Note: Only order requests for OV/EV TLS certificates return a domains array.

Février 5, 2021

organizations page OV/EV request forms Assumed name address organization ID OV SSL certificaates EV SSL certificates enhancement CertCentral

CertCentral: Amélioration de la page Organisations

Pour faciliter la recherche de vos organisations sur la page Organisations, nous affichons désormais trois nouvelles informations concernant chacune. Ces informations supplémentaires sont utiles lorsque plusieurs de vos organisations portent un nom similaire ou identique.

Identifiant
Nom d’emprunt (le cas échéant)
Adresse

Sur la page Organisations, vous verrez désormais apparaître une colonne N° d’org. contenant l’identifiant de l’organisation. Vous verrez également s'afficher les adresses de l’organisation sous leur nom. Enfin, si vous utilisez les noms d’emprunt, vous verrez celui de l’organisation entre parenthèses à côté de son nom.

Remarque : Jusqu'alors, le seul moyen de voir ces informations était de cliquer sur le nom de l’organisation et d’ouvrir la page des détails de celle-ci.

Pour de plus amples informations sur les organisations dans CertCentral, consultez la page Gérer les organisations.

CertCentral: Amélioration de l'option Ajouter une organisation sur les formulaires de demande de certificat OV/EV

Pour faciliter la commande de certificats TLS/SSL pour une organisation de votre compte, nous avons mis à jour l’option Ajouter une organisation des formulaires de demande de certificat OV et EV.

Pour les comptes émettant des certificats pour 10 organisations ou moins, nous affichons désormais trois nouvelles informations sur les organisations. Ces informations sont utiles lorsque plusieurs de vos organisations portent un nom similaire ou identique.

Nom d’emprunt (le cas échéant)
ID de l’organisation
Adresse

Nous avons également ajouté la possibilité de saisir le nom de l’organisation recherchée.

Essayez par vous-même

La prochaine fois que vous demandez un certificat TLS/SSL OV ou EV, cliquez sur Ajouter une organisation. Dans la liste déroulante Organisation,, vous verrez s'afficher les informations suivantes : le nom de l’organisation, son nom d’emprunt (le cas échéant), son identifiant et son adresse. Vous pouvez également saisir le nom de l’organisation.

Janvier 25, 2021

OV SSL certificates DV SSL certificates EV SSL certificates New Services API email to dns txt contact prevalidation DCV email method

API de services CertCentral : Amélioration du point de terminaison Adresses électroniques du domaine

Pour faciliter la recherche des adresses e-mail définies dans DNS TXT comme devant recevoir les e-mails de validation de contrôle de domaine (DCV) de DigiCert, nous avons ajouté un nouveau paramètre de réponse au point de terminaison Adresses électroniques du domaine. dns_txt_emails.

Le paramètre dns_txt_emails renvoie la liste des adresses électroniques trouvées sur l’enregistrement DNS TXT du domaine Il s'agit des adresses e-mail que nous trouvons dans l’enregistrement DNS TXT sur le sous-domaine _validation-contactemail du domaine en cours de validation.

Exemple de réponse avec le nouveau paramètre :

Pour en savoir plus sur la nouvelle méthode de DCV par e-mail au contact DNS TXT :

Journal des modifications – 13 janvier 2021

Pour de plus amples informations concernant la validation des domaines d'une commande de certificats DV :

Méthodes de validation de contrôle de domaine (DCV)

Pour de plus amples informations concernant la validation de domaines d'une commande de certificats OV/EV :

Janvier 13, 2021

OV SSL certificates DV SSL certificates EV SSL certificates New email to dns txt contact prevalidation DCV email method

CertCentral: Méthode DCV par e-mail au contact DNS TXT

Nous avons le plaisir d'annoncer que DigiCert prend désormais en charge l’envoi d'un e-mail au contact DNS TXT pour la validation de contrôle de domaine (DCV) basée sur l’adresse e-mail. Ainsi, vous pouvez ajouter des adresses e-mail à l’enregistrement DNS TXT de votre domaine. DigiCert recherche automatiquement les adresses dans les enregistrements DNS TXT et envoie l’e-mail de DCV aux adresses trouvées. Le destinataire de l’e-mail doit suivre les instructions contenues dans le message pour prouver qu'il contrôle le domaine.

Remarque : Jusqu'alors, DigiCert n’envoyait les e-mails de DCV qu'aux adresses e-mail construites et celles basées sur le WHOIS.

Changements dans l’industrie

Les informations de contact sont de plus en plus souvent masquées dans les enregistrements WHOIS pour des raisons de politique de confidentialité et d'autres contraintes. Suite au vote SC13, le forum Certificate Authority/Browser (CA/B) a décidé d'ajouter l'e-mail aux adresses DNS TXT à la liste des méthodes de DCV prises en charge.

Contacts e-mail de l’enregistrement DNS TXT

Pour utiliser la méthode DCV par e-mail à l’adresse déclarée dans le DNS TXT, vous devez placer l’enregistrement DNS TXT sur le sous-domaine _validation-contactemail du domaine que vous souhaitez valider. DigiCert recherche automatiquement les adresses dans les enregistrements WHOIS et DNS TXT et envoie l’e-mail de DCV aux adresses trouvées.

_validation-contactemail.example.com | Default | validatedomain@digicerttest.com

La valeur RDATA de cet enregistrement texte doit être une adresse e-mail valide. Reportez-vous à la section B.2.1 Contact par e-mail à l’enregistrement DNS TXT dans l’indexe des exigences de base.

Pour de plus amples informations sur le vote SC13, le forum CA/Browser et la méthode de DCV par e-mail aux contacts déclarés en DNS TXT :

Novembre 3, 2020

CertCentral API DCV tokens OV SSL certificates domain validation EV SSL certificates Services API

API de services CertCentral : Ajout de jetons DCV pour les nouveaux domaines dans les données de réponses aux commandes de certificats OV et EV

Nous avons mis à jour les points de terminaison permettant la commande de certificats SSL EV et OV publics afin de renvoyer les jetons de requête de validation de contrôle de domaine (DCV) concernant les nouveaux domaines de la commande.

Désormais, lorsque vous demandez un certificat OV ou EV, vous n'avez plus besoin d'émettre des requêtes distinctes pour obtenir les jetons de requête DCV des nouveaux domaines de la commande. À la place, vous pourrez recevoir les jetons directement dans les données de réponse à la requête.

Exemple de données de réponse :

Example response for an OV order with a new domain

Remarque : L’objet dcv_token n’est pas renvoyé pour les domaines qui seront validés de façon intégrée à un autre domaine de la commande, pour ceux qui existent déjà sur le compte, ni pour les sous-domaines de domaines principaux existants.

Cette mise à jour est valable pour les points de terminaison suivants :

Octobre 13, 2020

OV/EV order forms product settings public ssl certificates ICAs EV SSL certificates OV SSL certificaates New intermediate CA certificates new endpoint updated endpoints ICA selection api Services API flexible certificates

Sélection de la chaîne de certificats ICA pour les certificats flexibles OV et EV publics

Nous avons le plaisir d'annoncer que les certificats OV et EV à capacités flexibles permettent désormais la sélection de la chaîne de certificats d’AC intermédiaires.

Vous pouvez ajouter une option à votre compte CertCentral vous permettant de contrôler quelle chaîne de certification d’ICA DigiCert émet vos certificats "flexibles" OV et EV publics.

Cette option vous permet de .

Fixez la chaîne de certification d’ICA par défaut pour chaque certificat flexible EV et OV publique.
Contrôlez quelles chaînes de certification d’ICA les demandeurs de certificats peuvent utiliser pour émettre leurs certificats flexibles.

Configurez la sélection de chaîne de certification d’ICA

Pour activer la sélection d’ICA sur votre compte, prenez contact avec votre gestionnaire de compte ou notre équipe de support. Puis, dans votre compte CertCentral, sur la page des paramètres de produit (dans le menu principal de gauche, rendez-vous dans Paramètres > Paramètres de produit), configurez les intermédiaires autorisés et par défaut pour chaque type de certificat flexible OV et EV.

Pour plus d'informations et pour obtenir des instructions pas à pas, consultez la page Option de chaîne de certificats ICA pour les certificats flexibles OV et EV publics.

Prise en charge de la sélection de chaîne de certification d’ICA par l’API Services de DigiCert

Dans l’API Services de DigiCert, nous avons effectués certains changements afin de prendre en charge la sélection d’IPA dans vos intégrations.

Création d'un nouveau point de terminaison Limites de produit
Appelez ce point de terminaison pour obtenir des informations sur les limites et paramètres des produits activés pour chaque division de votre compte. Ceci inclut les valeurs d’identifiant de la chaîne de certification d’ICA par défaut et et des chaînes autorisées pour chaque produit.
Ajouté de la compatibilité avec la sélection d’ICA pour les requêtes de commande de certificat flexible TLS public OV et EV
Après avoir configuré les intermédiaires autorisés pour un produit donné, vous pouvez choisir la chaîne de certification d’ICA chargée d'émettre votre certificat lorsque vous soumettez une commande via l’API.
Transmettez l’identifiant du certificat de l’ICA émettrice en tant que valeur du paramètre ca_cert_id dans le corps de votre requête de commande.

Exemple de requête de certificat flexible :

Pour plus d’informations sur l’utilisation de la sélection de l’ICA dans vos intégrations d’API, consultez la page Cycle de vie d'un certificat OV/EV – Sélection de l’ICA (facultatif).

Juin 3, 2020

DNS CNAME dcv methods File DNS TXT FileAuth DV SSL certificates public ssl certificates HTTP Practical Demonstration EV SSL certificates DCV polling OV SSL certificaates Automatic checks

CertCentral: Vérifications DCV automatiques – Interrogation DCV

Nous avons le plaisir d'annoncer que nous avons améliorer la procédure de validation de contrôle de domaine (DCV) et ajouté la vérification automatique pour les méthodes DNS TXT, DNS CNAME et Démonstration pratique HTTP.

Cela signifie qu’une fois que vous avez déposé un fichier fileauth.txt sur votre domaine ou ajouté la valeur aléatoire fournie à vos enregistrements DNS TXT ou DNS CNAME, vous n’avez plus à vous connecter à CertCentral pour effectuer le contrôle vous-même. Nous effectuerons la vérification de DCV automatiquement. Cependant, au besoin, vous pouvez toujours effectuer un contrôle manuel.

Cadence d'interrogation DCV

Après avoir soumis votre commande de certificat SSL/TLS public, soumis un domaine à prévalidation ou modifié la méthode DCV pour un domaine, l’interrogation DCV démarre immédiatement et s’exécute pendant une semaine.

Intervalle 1 — Chaque minute pendant les 15 premières minutes
Intervalle 2 — Toutes les cinq minutes pendant une heure
Intervalle 3 — Toutes les quinze minutes pendant quatre heures
Intervalle 4 — Toutes les heures pendant une journée
Intervalle 5 — Toutes les quatre heures pendant une semaine*

*À la fin de l’intervalle 5, nous cessons nos tentatives de vérification. Si vous n'avez déposé aucun fichier fileauth.txt sur votre domaine et n’avez pas ajouté la valeur aléatoire fournie à vos enregistrements DNS TXT ou DNS CNAME avant la fin de la première semaine, vous devrez lancer la vérification vous-même.

Pour plus d'informations sur les méthodes DCV prises en charge :

Mars 27, 2019

certificate profiles ocsp must-staple request forms EV SSL certificates SSL certificates

Nous avons intégré une nouvelle option au profil de certificat, « OCSP Must-Staple » (Agrafage OCSP), qui vous permet d’inclure l’extension « OCSP Must-Staple » dans les certificats SSL/TLS OV et EV. Une fois l’option Include the OCSP Must-Staple extension in the certificate (Inclure l’extension OCSP Must-Staple dans le certificat) activée pour votre compte, elle apparaît sur vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).

Remarque : Les navigateurs compatibles avec l’extension « OCSP Must-Staple » peuvent afficher une boîte de dialogue interstitielle pour bloquer les utilisateurs qui accèdent à votre site. Avant d’installer le certificat, assurez-vous que votre site est configuré de manière à desservir correctement et efficacement des réponses OCSP agrafées.

Pour activer un profil de certificat pour votre compte, veuillez joindre votre représentant commercial ou contacter votre équipe de support.

Autres options de profil de certificat disponibles

Si ces options sont activées pour votre compte, elles apparaissent dans vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).

Intel vPro EKU
Cette option vous permet d’inclure le champ « Intel vPro EKU » aux certificats SSL/TLS OV.
KDC/SmartCardLogon EKU
Cette option vous permet d’inclure le champ « KDC/SmartCardLogon EKU » (Utilisation améliorée de la clé) dans les certificats SSL/TLS OV.
HTTP Signed Exchange
Cette option vous permet d’inclure l’extension « CanSignHTTPExchanges » aux certificats SSL/TLS OV et EV (consultez la page HTTP Signed Exchange est en cours de développement (Optimiser l’affichage des URL AMP grâce aux échanges HTTP signés).
Delegated Credentials
Cette option vous permet d’inclure l’extension « DelegationUsage » aux certificats SSL/TLS OV et EV.

Mars 26, 2019

certificate profiles delegated credentials certcentral-ui request forms EV SSL certificates SSL certificates

Nous avons intégré une nouvelle option, « Delegated Credentials », au profil de certificat, qui vous permet d’inclure l’extension « DelegationUsage » dans les certificats SSL/TLS OV et EV. Une fois l’option Include the DelegationUsage extension in the certificate (Inclure l’extension DelegationUsage dans le certificat) activée pour votre compte, elle apparaît sur vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).

Pour activer un profil de certificat pour votre compte, veuillez joindre votre représentant commercial ou contacter votre équipe de support.

Contexte

L’extension Delegated Credentials for TLS est actuellement en cours de développement par l’organisme Internet Engineering Task Force (IETF). Afin de faciliter les tests d’interopérabilité, nous avons intégré une fonction permettant d’émettre des certificats conformes aux spécifications du projet en cours. Sachez toutefois que d’autres modifications pourraient être apportées à ce projet à mesure que l’industrie continue d’évoluer.

Autres options de profil de certificat disponibles

Intel vPro EKU
Cette option vous permet d’inclure le champ « Intel vPro EKU » à un certificat OV SSL/TLS.
KDC/SmartCardLogon EKU
Cette option vous permet d’inclure le champ « KDC/SmartCardLogon EKU » (Utilisation améliorée de la clé) dans les certificats SSL/TLS OV.
HTTP Signed Exchange
Cette option vous permet d’inclure l’extension « CanSignHTTPExchanges » aux certificats SSL/TLS OV et EV (consultez la page HTTP Signed Exchange est en cours de développement (Optimiser l’affichage des URL AMP grâce aux échanges HTTP signés).
OCSP Must-Staple
Cette option vous permet d’inclure l’extension d’agrafage OCSP aux certificats SSL/TLS OV et EV.

Février 26, 2019

api certcentral-ui EV SSL certificates enhancement SSL certificates

Nous avons amélioré les points de terminaison des demandes d’API Services de DigiCert pour vous permettre d’obtenir des réponses plus rapidement lors de vos demandes de certificat.

Nous avons simplifié la façon d’Ajouter des contacts pour les commandes de certificat OV (Standard SSL, Secure Site SSL, etc.). Désormais, lorsque vous commandez un certificat OV, la carte Organization Contact (Contact d’organisation) est automatiquement remplie à votre place. Si besoin, vous pouvez ajouter un contact technique.

Lorsque vous ajoutez une CSR qui inclut une organisation existante dans votre compte, nous remplissons la carte Organization Contact (Contact de l’organisation) avec les informations du contact affecté à cette organisation.
Lorsque vous ajoutez manuellement une organisation existante, nous remplissons la carte Organization Contact (Contact de l’organisation) avec les informations du contact affecté à cette organisation.
Lorsque vous ajoutez une nouvelle organisation, nous remplissons la carte Organization Contact (Contact de l’organisation) avec vos propres coordonnées.

Pour utiliser un autre contact d’organisation, supprimez celui qui a été spécifié automatiquement et ajoutez-en un manuellement.

Nous avons simplifié la façon d’Ajouter des contacts pour les commandes de certificat EV (EV SSL, Secure Site SSL, etc.). Désormais, lorsque vous commandez un certificat EV, les cartes Verified Contact (Contact vérifié) sont automatiquement remplies à votre place si les informations relatives aux contacts vérifiés EV sont disponibles dans votre compte. Si besoin, vous pouvez ajouter des contacts d’organisation et des contacts techniques.

Lorsque vous ajoutez une CSR qui inclut une organisation existante dans votre compte, nous remplissons la carte Verified Contact (Contact vérifié) avec les informations des contacts EV vérifiés affectés à cette organisation.
Lorsque vous ajoutez manuellement une organisation existante, nous remplissons la carte Verified Contact (Contact vérifié) avec les informations des contacts EV vérifiés affectés à cette organisation.

L’affectation de contacts vérifiés à une organisation ne constitue pas une condition préalable à l’ajout d’une organisation. Il peut parfois arriver que les coordonnées des contacts vérifiés ne soient pas disponibles pour une organisation donnée. Dans ce cas, vous devez ajouter les contacts vérifiés manuellement.

Janvier 28, 2019

certcentral-ui organization contact technical contact EV SSL certificates enhancement New feature SSL certificates

Nous avons intégré une nouvelle fonction, Add contact (Ajouter un contact), aux formulaires de demande de certificat SSL/TLS OV pour vous permettre d’ajouter un seul contact technique et un seul contact d’organisation au cours du processus de demande.

Auparavant, vous ne pouviez pas ajouter de contact lors des commandes de certificats SSL/TLS OV (tels que les certificats Secure Site SSL et Multi-Domain SSL).

Remarque : Un contact technique est une personne que nous pouvons joindre en cas de problème lors du traitement de votre commande. Un contact d’organisation est une personne que nous pouvons joindre lorsque nous procédons à la validation de votre organisation pour votre certificat.

Nous avons amélioré la fonction Add contact (Ajouter un contact) des formulaires de demande de certificat SSL/TLS EV pour vous permettre d’ajouter un seul contact technique et un seul contact d’organisation au cours du processus de demande.

Auparavant, vous ne pouviez ajouter que des contacts vérifiés (pour certificats EV) lors des commandes de certificats SSL/TLS EV (tels que les certificats Secure Site EV et EV Multi-Domain SSL).

Remarque : Un contact technique est une personne que nous pouvons joindre en cas de problème lors du traitement de votre commande. Un contact d’organisation est une personne que nous pouvons joindre lorsque nous procédons à la validation de votre organisation pour votre certificat.