Updates to OV and EV TLS certificate profiles
As we work to align our DV, OV, and EV TLS certificate profiles, we are making a minor change to our OV and EV TLS certificate profiles. Starting January 25, 2022, we will set the Basic Constraints extension to noncritical in our OV and EV TLS certificate profiles.
Note: DV TLS certificates are already issued with the Basic Constraints extension set to noncritical.
What do I need to do?
No action is required on your part. You shouldn't notice any difference in your certificate issuance process.
However, if your TLS certificate process requires the Basic Constraints extension to bet set to critical, contact your account manager or DigiCert Support immediately.
Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)
To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.
To learn more about the industry change, see Domain validation policy changes in 2021.
How does this affect me?
As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:
To learn more about the supported DCV method for DV, OV, and EV certificate requests:
CertCentral: Pending certificate requests and domain prevalidation using file-based DCV
Pending certificate request
If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.
*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.
To learn more about the supported DCV methods for DV, OV, and EV certificate requests:
Domain prevalidation
If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.
To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.
CertCentral Services API
If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).
CertCentral Services API: Improved domains array in OV/EV order response
To make it easier to see how the Services API groups the domains on your OV/EV TLS certificate orders for validation, we added a new response parameter to the endpoints for submitting certificate order requests: domains[].dns_name
.*
The dns_name
parameter returns the common name or SAN of the domain on the order. To prove you control this domain, you must have an active validation for the domain associated with the domains[].name
and domains[].id
key/value pairs.
Example OV certificate order
JSON payload:
JSON response:
The Services API returns the domains[].dns_name
parameter in the JSON response for the following endpoints:
*Note: Only order requests for OV/EV TLS certificates return a domains
array.
CertCentral: Amélioration de la page Organisations
Pour faciliter la recherche de vos organisations sur la page Organisations, nous affichons désormais trois nouvelles informations concernant chacune. Ces informations supplémentaires sont utiles lorsque plusieurs de vos organisations portent un nom similaire ou identique.
Sur la page Organisations, vous verrez désormais apparaître une colonne N° d’org. contenant l’identifiant de l’organisation. Vous verrez également s'afficher les adresses de l’organisation sous leur nom. Enfin, si vous utilisez les noms d’emprunt, vous verrez celui de l’organisation entre parenthèses à côté de son nom.
Remarque : Jusqu'alors, le seul moyen de voir ces informations était de cliquer sur le nom de l’organisation et d’ouvrir la page des détails de celle-ci.
Pour de plus amples informations sur les organisations dans CertCentral, consultez la page Gérer les organisations.
CertCentral: Amélioration de l'option Ajouter une organisation sur les formulaires de demande de certificat OV/EV
Pour faciliter la commande de certificats TLS/SSL pour une organisation de votre compte, nous avons mis à jour l’option Ajouter une organisation des formulaires de demande de certificat OV et EV.
Pour les comptes émettant des certificats pour 10 organisations ou moins, nous affichons désormais trois nouvelles informations sur les organisations. Ces informations sont utiles lorsque plusieurs de vos organisations portent un nom similaire ou identique.
Nous avons également ajouté la possibilité de saisir le nom de l’organisation recherchée.
Essayez par vous-même
La prochaine fois que vous demandez un certificat TLS/SSL OV ou EV, cliquez sur Ajouter une organisation. Dans la liste déroulante Organisation,, vous verrez s'afficher les informations suivantes : le nom de l’organisation, son nom d’emprunt (le cas échéant), son identifiant et son adresse. Vous pouvez également saisir le nom de l’organisation.
API de services CertCentral : Amélioration du point de terminaison Adresses électroniques du domaine
Pour faciliter la recherche des adresses e-mail définies dans DNS TXT comme devant recevoir les e-mails de validation de contrôle de domaine (DCV) de DigiCert, nous avons ajouté un nouveau paramètre de réponse au point de terminaison Adresses électroniques du domaine. dns_txt_emails
.
Le paramètre dns_txt_emails
renvoie la liste des adresses électroniques trouvées sur l’enregistrement DNS TXT du domaine Il s'agit des adresses e-mail que nous trouvons dans l’enregistrement DNS TXT sur le sous-domaine _validation-contactemail
du domaine en cours de validation.
Exemple de réponse avec le nouveau paramètre :
Pour en savoir plus sur la nouvelle méthode de DCV par e-mail au contact DNS TXT :
Pour de plus amples informations concernant la validation des domaines d'une commande de certificats DV :
Pour de plus amples informations concernant la validation de domaines d'une commande de certificats OV/EV :
CertCentral: Méthode DCV par e-mail au contact DNS TXT
Nous avons le plaisir d'annoncer que DigiCert prend désormais en charge l’envoi d'un e-mail au contact DNS TXT pour la validation de contrôle de domaine (DCV) basée sur l’adresse e-mail. Ainsi, vous pouvez ajouter des adresses e-mail à l’enregistrement DNS TXT de votre domaine. DigiCert recherche automatiquement les adresses dans les enregistrements DNS TXT et envoie l’e-mail de DCV aux adresses trouvées. Le destinataire de l’e-mail doit suivre les instructions contenues dans le message pour prouver qu'il contrôle le domaine.
Remarque : Jusqu'alors, DigiCert n’envoyait les e-mails de DCV qu'aux adresses e-mail construites et celles basées sur le WHOIS.
Changements dans l’industrie
Les informations de contact sont de plus en plus souvent masquées dans les enregistrements WHOIS pour des raisons de politique de confidentialité et d'autres contraintes. Suite au vote SC13, le forum Certificate Authority/Browser (CA/B) a décidé d'ajouter l'e-mail aux adresses DNS TXT à la liste des méthodes de DCV prises en charge.
Contacts e-mail de l’enregistrement DNS TXT
Pour utiliser la méthode DCV par e-mail à l’adresse déclarée dans le DNS TXT, vous devez placer l’enregistrement DNS TXT sur le sous-domaine _validation-contactemail du domaine que vous souhaitez valider. DigiCert recherche automatiquement les adresses dans les enregistrements WHOIS et DNS TXT et envoie l’e-mail de DCV aux adresses trouvées.
_validation-contactemail.example.com | Default | validatedomain@digicerttest.com
La valeur RDATA de cet enregistrement texte doit être une adresse e-mail valide. Reportez-vous à la section B.2.1 Contact par e-mail à l’enregistrement DNS TXT dans l’indexe des exigences de base.
Pour de plus amples informations sur le vote SC13, le forum CA/Browser et la méthode de DCV par e-mail aux contacts déclarés en DNS TXT :
API de services CertCentral : Ajout de jetons DCV pour les nouveaux domaines dans les données de réponses aux commandes de certificats OV et EV
Nous avons mis à jour les points de terminaison permettant la commande de certificats SSL EV et OV publics afin de renvoyer les jetons de requête de validation de contrôle de domaine (DCV) concernant les nouveaux domaines de la commande.
Désormais, lorsque vous demandez un certificat OV ou EV, vous n'avez plus besoin d'émettre des requêtes distinctes pour obtenir les jetons de requête DCV des nouveaux domaines de la commande. À la place, vous pourrez recevoir les jetons directement dans les données de réponse à la requête.
Exemple de données de réponse :
Remarque : L’objet dcv_token
n’est pas renvoyé pour les domaines qui seront validés de façon intégrée à un autre domaine de la commande, pour ceux qui existent déjà sur le compte, ni pour les sous-domaines de domaines principaux existants.
Cette mise à jour est valable pour les points de terminaison suivants :
Sélection de la chaîne de certificats ICA pour les certificats flexibles OV et EV publics
Nous avons le plaisir d'annoncer que les certificats OV et EV à capacités flexibles permettent désormais la sélection de la chaîne de certificats d’AC intermédiaires.
Vous pouvez ajouter une option à votre compte CertCentral vous permettant de contrôler quelle chaîne de certification d’ICA DigiCert émet vos certificats "flexibles" OV et EV publics.
Cette option vous permet de .
Configurez la sélection de chaîne de certification d’ICA
Pour activer la sélection d’ICA sur votre compte, prenez contact avec votre gestionnaire de compte ou notre équipe de support. Puis, dans votre compte CertCentral, sur la page des paramètres de produit (dans le menu principal de gauche, rendez-vous dans Paramètres > Paramètres de produit), configurez les intermédiaires autorisés et par défaut pour chaque type de certificat flexible OV et EV.
Pour plus d'informations et pour obtenir des instructions pas à pas, consultez la page Option de chaîne de certificats ICA pour les certificats flexibles OV et EV publics.
Prise en charge de la sélection de chaîne de certification d’ICA par l’API Services de DigiCert
Dans l’API Services de DigiCert, nous avons effectués certains changements afin de prendre en charge la sélection d’IPA dans vos intégrations.
ca_cert_id
dans le corps de votre requête de commande.Exemple de requête de certificat flexible :
Pour plus d’informations sur l’utilisation de la sélection de l’ICA dans vos intégrations d’API, consultez la page Cycle de vie d'un certificat OV/EV – Sélection de l’ICA (facultatif).
CertCentral: Vérifications DCV automatiques – Interrogation DCV
Nous avons le plaisir d'annoncer que nous avons améliorer la procédure de validation de contrôle de domaine (DCV) et ajouté la vérification automatique pour les méthodes DNS TXT, DNS CNAME et Démonstration pratique HTTP.
Cela signifie qu’une fois que vous avez déposé un fichier fileauth.txt sur votre domaine ou ajouté la valeur aléatoire fournie à vos enregistrements DNS TXT ou DNS CNAME, vous n’avez plus à vous connecter à CertCentral pour effectuer le contrôle vous-même. Nous effectuerons la vérification de DCV automatiquement. Cependant, au besoin, vous pouvez toujours effectuer un contrôle manuel.
Cadence d'interrogation DCV
Après avoir soumis votre commande de certificat SSL/TLS public, soumis un domaine à prévalidation ou modifié la méthode DCV pour un domaine, l’interrogation DCV démarre immédiatement et s’exécute pendant une semaine.
*À la fin de l’intervalle 5, nous cessons nos tentatives de vérification. Si vous n'avez déposé aucun fichier fileauth.txt sur votre domaine et n’avez pas ajouté la valeur aléatoire fournie à vos enregistrements DNS TXT ou DNS CNAME avant la fin de la première semaine, vous devrez lancer la vérification vous-même.
Pour plus d'informations sur les méthodes DCV prises en charge :
Nous avons intégré une nouvelle option au profil de certificat, « OCSP Must-Staple » (Agrafage OCSP), qui vous permet d’inclure l’extension « OCSP Must-Staple » dans les certificats SSL/TLS OV et EV. Une fois l’option Include the OCSP Must-Staple extension in the certificate (Inclure l’extension OCSP Must-Staple dans le certificat) activée pour votre compte, elle apparaît sur vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).
Remarque : Les navigateurs compatibles avec l’extension « OCSP Must-Staple » peuvent afficher une boîte de dialogue interstitielle pour bloquer les utilisateurs qui accèdent à votre site. Avant d’installer le certificat, assurez-vous que votre site est configuré de manière à desservir correctement et efficacement des réponses OCSP agrafées.
Pour activer un profil de certificat pour votre compte, veuillez joindre votre représentant commercial ou contacter votre équipe de support.
Autres options de profil de certificat disponibles
Si ces options sont activées pour votre compte, elles apparaissent dans vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).
Nous avons intégré une nouvelle option, « Delegated Credentials », au profil de certificat, qui vous permet d’inclure l’extension « DelegationUsage » dans les certificats SSL/TLS OV et EV. Une fois l’option Include the DelegationUsage extension in the certificate (Inclure l’extension DelegationUsage dans le certificat) activée pour votre compte, elle apparaît sur vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).
Pour activer un profil de certificat pour votre compte, veuillez joindre votre représentant commercial ou contacter votre équipe de support.
Contexte
L’extension Delegated Credentials for TLS est actuellement en cours de développement par l’organisme Internet Engineering Task Force (IETF). Afin de faciliter les tests d’interopérabilité, nous avons intégré une fonction permettant d’émettre des certificats conformes aux spécifications du projet en cours. Sachez toutefois que d’autres modifications pourraient être apportées à ce projet à mesure que l’industrie continue d’évoluer.
Autres options de profil de certificat disponibles
Si ces options sont activées pour votre compte, elles apparaissent dans vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).
Nous avons amélioré les points de terminaison des demandes d’API Services de DigiCert pour vous permettre d’obtenir des réponses plus rapidement lors de vos demandes de certificat.
Nous avons simplifié la façon d’Ajouter des contacts pour les commandes de certificat OV (Standard SSL, Secure Site SSL, etc.). Désormais, lorsque vous commandez un certificat OV, la carte Organization Contact (Contact d’organisation) est automatiquement remplie à votre place. Si besoin, vous pouvez ajouter un contact technique.
Pour utiliser un autre contact d’organisation, supprimez celui qui a été spécifié automatiquement et ajoutez-en un manuellement.
Nous avons simplifié la façon d’Ajouter des contacts pour les commandes de certificat EV (EV SSL, Secure Site SSL, etc.). Désormais, lorsque vous commandez un certificat EV, les cartes Verified Contact (Contact vérifié) sont automatiquement remplies à votre place si les informations relatives aux contacts vérifiés EV sont disponibles dans votre compte. Si besoin, vous pouvez ajouter des contacts d’organisation et des contacts techniques.
L’affectation de contacts vérifiés à une organisation ne constitue pas une condition préalable à l’ajout d’une organisation. Il peut parfois arriver que les coordonnées des contacts vérifiés ne soient pas disponibles pour une organisation donnée. Dans ce cas, vous devez ajouter les contacts vérifiés manuellement.
Nous avons intégré une nouvelle fonction, Add contact (Ajouter un contact), aux formulaires de demande de certificat SSL/TLS OV pour vous permettre d’ajouter un seul contact technique et un seul contact d’organisation au cours du processus de demande.
Auparavant, vous ne pouviez pas ajouter de contact lors des commandes de certificats SSL/TLS OV (tels que les certificats Secure Site SSL et Multi-Domain SSL).
Remarque : Un contact technique est une personne que nous pouvons joindre en cas de problème lors du traitement de votre commande. Un contact d’organisation est une personne que nous pouvons joindre lorsque nous procédons à la validation de votre organisation pour votre certificat.
Nous avons amélioré la fonction Add contact (Ajouter un contact) des formulaires de demande de certificat SSL/TLS EV pour vous permettre d’ajouter un seul contact technique et un seul contact d’organisation au cours du processus de demande.
Auparavant, vous ne pouviez ajouter que des contacts vérifiés (pour certificats EV) lors des commandes de certificats SSL/TLS EV (tels que les certificats Secure Site EV et EV Multi-Domain SSL).
Remarque : Un contact technique est une personne que nous pouvons joindre en cas de problème lors du traitement de votre commande. Un contact d’organisation est une personne que nous pouvons joindre lorsque nous procédons à la validation de votre organisation pour votre certificat.