Filtrage par : EV SSL certificates x effacer
new

Updates to OV and EV TLS certificate profiles

As we work to align our DV, OV, and EV TLS certificate profiles, we are making a minor change to our OV and EV TLS certificate profiles. Starting January 25, 2022, we will set the Basic Constraints extension to noncritical in our OV and EV TLS certificate profiles.

Note: DV TLS certificates are already issued with the Basic Constraints extension set to noncritical.

What do I need to do?

No action is required on your part. You shouldn't notice any difference in your certificate issuance process.

However, if your TLS certificate process requires the Basic Constraints extension to bet set to critical, contact your account manager or DigiCert Support immediately.

compliance

Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)

To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.

To learn more about the industry change, see Domain validation policy changes in 2021.

How does this affect me?

As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:

  • Validate wildcard domains (*.example.com)
  • To include subdomains in the domain validation when validating the higher-level domain. For example, if you want to cover www.example.com, when you validate the higher-level domain, example.com.
  • Prevalidate entire domains and subdomains.

To learn more about the supported DCV method for DV, OV, and EV certificate requests:

compliance

CertCentral: Pending certificate requests and domain prevalidation using file-based DCV

Pending certificate request

If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.

*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.

To learn more about the supported DCV methods for DV, OV, and EV certificate requests:

Domain prevalidation

If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.

To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.

compliance

CertCentral Services API

If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).

enhancement

CertCentral Services API: Improved domains array in OV/EV order response

To make it easier to see how the Services API groups the domains on your OV/EV TLS certificate orders for validation, we added a new response parameter to the endpoints for submitting certificate order requests: domains[].dns_name.*

The dns_name parameter returns the common name or SAN of the domain on the order. To prove you control this domain, you must have an active validation for the domain associated with the domains[].name and domains[].id key/value pairs.

Example OV certificate order

JSON payload:

JSON payload

JSON response:

JSON response

The Services API returns the domains[].dns_name parameter in the JSON response for the following endpoints:

*Note: Only order requests for OV/EV TLS certificates return a domains array.

enhancement

CertCentral: Amélioration de la page Organisations

Pour faciliter la recherche de vos organisations sur la page Organisations, nous affichons désormais trois nouvelles informations concernant chacune. Ces informations supplémentaires sont utiles lorsque plusieurs de vos organisations portent un nom similaire ou identique.

  • Identifiant
  • Nom d’emprunt (le cas échéant)
  • Adresse

Sur la page Organisations, vous verrez désormais apparaître une colonne N° d’org. contenant l’identifiant de l’organisation. Vous verrez également s'afficher les adresses de l’organisation sous leur nom. Enfin, si vous utilisez les noms d’emprunt, vous verrez celui de l’organisation entre parenthèses à côté de son nom.

Remarque : Jusqu'alors, le seul moyen de voir ces informations était de cliquer sur le nom de l’organisation et d’ouvrir la page des détails de celle-ci.

Pour de plus amples informations sur les organisations dans CertCentral, consultez la page Gérer les organisations.

enhancement

CertCentral: Amélioration de l'option Ajouter une organisation sur les formulaires de demande de certificat OV/EV

Pour faciliter la commande de certificats TLS/SSL pour une organisation de votre compte, nous avons mis à jour l’option Ajouter une organisation des formulaires de demande de certificat OV et EV.

Pour les comptes émettant des certificats pour 10 organisations ou moins, nous affichons désormais trois nouvelles informations sur les organisations. Ces informations sont utiles lorsque plusieurs de vos organisations portent un nom similaire ou identique.

  • Nom d’emprunt (le cas échéant)
  • ID de l’organisation
  • Adresse

Nous avons également ajouté la possibilité de saisir le nom de l’organisation recherchée.

Essayez par vous-même

La prochaine fois que vous demandez un certificat TLS/SSL OV ou EV, cliquez sur Ajouter une organisation. Dans la liste déroulante Organisation,, vous verrez s'afficher les informations suivantes : le nom de l’organisation, son nom d’emprunt (le cas échéant), son identifiant et son adresse. Vous pouvez également saisir le nom de l’organisation.

enhancement

API de services CertCentral : Ajout de jetons DCV pour les nouveaux domaines dans les données de réponses aux commandes de certificats OV et EV

Nous avons mis à jour les points de terminaison permettant la commande de certificats SSL EV et OV publics afin de renvoyer les jetons de requête de validation de contrôle de domaine (DCV) concernant les nouveaux domaines de la commande.

Désormais, lorsque vous demandez un certificat OV ou EV, vous n'avez plus besoin d'émettre des requêtes distinctes pour obtenir les jetons de requête DCV des nouveaux domaines de la commande. À la place, vous pourrez recevoir les jetons directement dans les données de réponse à la requête.

Exemple de données de réponse :

Example response for an OV order with a new domain

Remarque : L’objet dcv_token n’est pas renvoyé pour les domaines qui seront validés de façon intégrée à un autre domaine de la commande, pour ceux qui existent déjà sur le compte, ni pour les sous-domaines de domaines principaux existants.

Cette mise à jour est valable pour les points de terminaison suivants :

new

Sélection de la chaîne de certificats ICA pour les certificats flexibles OV et EV publics

Nous avons le plaisir d'annoncer que les certificats OV et EV à capacités flexibles permettent désormais la sélection de la chaîne de certificats d’AC intermédiaires.

Vous pouvez ajouter une option à votre compte CertCentral vous permettant de contrôler quelle chaîne de certification d’ICA DigiCert émet vos certificats "flexibles" OV et EV publics.

Cette option vous permet de .

  • Fixez la chaîne de certification d’ICA par défaut pour chaque certificat flexible EV et OV publique.
  • Contrôlez quelles chaînes de certification d’ICA les demandeurs de certificats peuvent utiliser pour émettre leurs certificats flexibles.

Configurez la sélection de chaîne de certification d’ICA

Pour activer la sélection d’ICA sur votre compte, prenez contact avec votre gestionnaire de compte ou notre équipe de support. Puis, dans votre compte CertCentral, sur la page des paramètres de produit (dans le menu principal de gauche, rendez-vous dans Paramètres > Paramètres de produit), configurez les intermédiaires autorisés et par défaut pour chaque type de certificat flexible OV et EV.

Pour plus d'informations et pour obtenir des instructions pas à pas, consultez la page Option de chaîne de certificats ICA pour les certificats flexibles OV et EV publics.

new

Prise en charge de la sélection de chaîne de certification d’ICA par l’API Services de DigiCert

Dans l’API Services de DigiCert, nous avons effectués certains changements afin de prendre en charge la sélection d’IPA dans vos intégrations.

  • Création d'un nouveau point de terminaison Limites de produit
    Appelez ce point de terminaison pour obtenir des informations sur les limites et paramètres des produits activés pour chaque division de votre compte. Ceci inclut les valeurs d’identifiant de la chaîne de certification d’ICA par défaut et et des chaînes autorisées pour chaque produit.
  • Ajouté de la compatibilité avec la sélection d’ICA pour les requêtes de commande de certificat flexible TLS public OV et EV
    Après avoir configuré les intermédiaires autorisés pour un produit donné, vous pouvez choisir la chaîne de certification d’ICA chargée d'émettre votre certificat lorsque vous soumettez une commande via l’API.
    Transmettez l’identifiant du certificat de l’ICA émettrice en tant que valeur du paramètre ca_cert_id dans le corps de votre requête de commande.

Exemple de requête de certificat flexible :

Example flex certificate request

Pour plus d’informations sur l’utilisation de la sélection de l’ICA dans vos intégrations d’API, consultez la page Cycle de vie d'un certificat OV/EV – Sélection de l’ICA (facultatif).

enhancement

CertCentral: Vérifications DCV automatiques – Interrogation DCV

Nous avons le plaisir d'annoncer que nous avons améliorer la procédure de validation de contrôle de domaine (DCV) et ajouté la vérification automatique pour les méthodes DNS TXT, DNS CNAME et Démonstration pratique HTTP.

Cela signifie qu’une fois que vous avez déposé un fichier fileauth.txt sur votre domaine ou ajouté la valeur aléatoire fournie à vos enregistrements DNS TXT ou DNS CNAME, vous n’avez plus à vous connecter à CertCentral pour effectuer le contrôle vous-même. Nous effectuerons la vérification de DCV automatiquement. Cependant, au besoin, vous pouvez toujours effectuer un contrôle manuel.

Cadence d'interrogation DCV

Après avoir soumis votre commande de certificat SSL/TLS public, soumis un domaine à prévalidation ou modifié la méthode DCV pour un domaine, l’interrogation DCV démarre immédiatement et s’exécute pendant une semaine.

  • Intervalle 1 — Chaque minute pendant les 15 premières minutes
  • Intervalle 2 — Toutes les cinq minutes pendant une heure
  • Intervalle 3 — Toutes les quinze minutes pendant quatre heures
  • Intervalle 4 — Toutes les heures pendant une journée
  • Intervalle 5 — Toutes les quatre heures pendant une semaine*

*À la fin de l’intervalle 5, nous cessons nos tentatives de vérification. Si vous n'avez déposé aucun fichier fileauth.txt sur votre domaine et n’avez pas ajouté la valeur aléatoire fournie à vos enregistrements DNS TXT ou DNS CNAME avant la fin de la première semaine, vous devrez lancer la vérification vous-même.

Pour plus d'informations sur les méthodes DCV prises en charge :

new

Nous avons intégré une nouvelle option au profil de certificat, « OCSP Must-Staple » (Agrafage OCSP), qui vous permet d’inclure l’extension « OCSP Must-Staple » dans les certificats SSL/TLS OV et EV. Une fois l’option Include the OCSP Must-Staple extension in the certificate (Inclure l’extension OCSP Must-Staple dans le certificat) activée pour votre compte, elle apparaît sur vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).

Remarque : Les navigateurs compatibles avec l’extension « OCSP Must-Staple » peuvent afficher une boîte de dialogue interstitielle pour bloquer les utilisateurs qui accèdent à votre site. Avant d’installer le certificat, assurez-vous que votre site est configuré de manière à desservir correctement et efficacement des réponses OCSP agrafées.

Pour activer un profil de certificat pour votre compte, veuillez joindre votre représentant commercial ou contacter votre équipe de support.

Autres options de profil de certificat disponibles

Si ces options sont activées pour votre compte, elles apparaissent dans vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).

  • Intel vPro EKU
    Cette option vous permet d’inclure le champ « Intel vPro EKU » aux certificats SSL/TLS OV.
  • KDC/SmartCardLogon EKU
    Cette option vous permet d’inclure le champ « KDC/SmartCardLogon EKU » (Utilisation améliorée de la clé) dans les certificats SSL/TLS OV.
  • HTTP Signed Exchange
    Cette option vous permet d’inclure l’extension « CanSignHTTPExchanges » aux certificats SSL/TLS OV et EV (consultez la page HTTP Signed Exchange est en cours de développement (Optimiser l’affichage des URL AMP grâce aux échanges HTTP signés).
  • Delegated Credentials
    Cette option vous permet d’inclure l’extension « DelegationUsage » aux certificats SSL/TLS OV et EV.
new

Nous avons intégré une nouvelle option, « Delegated Credentials », au profil de certificat, qui vous permet d’inclure l’extension « DelegationUsage » dans les certificats SSL/TLS OV et EV. Une fois l’option Include the DelegationUsage extension in the certificate (Inclure l’extension DelegationUsage dans le certificat) activée pour votre compte, elle apparaît sur vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).

Pour activer un profil de certificat pour votre compte, veuillez joindre votre représentant commercial ou contacter votre équipe de support.

Contexte

L’extension Delegated Credentials for TLS est actuellement en cours de développement par l’organisme Internet Engineering Task Force (IETF). Afin de faciliter les tests d’interopérabilité, nous avons intégré une fonction permettant d’émettre des certificats conformes aux spécifications du projet en cours. Sachez toutefois que d’autres modifications pourraient être apportées à ce projet à mesure que l’industrie continue d’évoluer.

Autres options de profil de certificat disponibles

Si ces options sont activées pour votre compte, elles apparaissent dans vos formulaires de demande de certificat SSL/TLS sous Additional Certificate Options (Options de certificat supplémentaires).

  • Intel vPro EKU
    Cette option vous permet d’inclure le champ « Intel vPro EKU » à un certificat OV SSL/TLS.
  • KDC/SmartCardLogon EKU
    Cette option vous permet d’inclure le champ « KDC/SmartCardLogon EKU » (Utilisation améliorée de la clé) dans les certificats SSL/TLS OV.
  • HTTP Signed Exchange
    Cette option vous permet d’inclure l’extension « CanSignHTTPExchanges » aux certificats SSL/TLS OV et EV (consultez la page HTTP Signed Exchange est en cours de développement (Optimiser l’affichage des URL AMP grâce aux échanges HTTP signés).
  • OCSP Must-Staple
    Cette option vous permet d’inclure l’extension d’agrafage OCSP aux certificats SSL/TLS OV et EV.
enhancement

Nous avons amélioré les points de terminaison des demandes d’API Services de DigiCert pour vous permettre d’obtenir des réponses plus rapidement lors de vos demandes de certificat.

enhancement

Nous avons simplifié la façon d’Ajouter des contacts pour les commandes de certificat OV (Standard SSL, Secure Site SSL, etc.). Désormais, lorsque vous commandez un certificat OV, la carte Organization Contact (Contact d’organisation) est automatiquement remplie à votre place. Si besoin, vous pouvez ajouter un contact technique.

  • Lorsque vous ajoutez une CSR qui inclut une organisation existante dans votre compte, nous remplissons la carte Organization Contact (Contact de l’organisation) avec les informations du contact affecté à cette organisation.
  • Lorsque vous ajoutez manuellement une organisation existante, nous remplissons la carte Organization Contact (Contact de l’organisation) avec les informations du contact affecté à cette organisation.
  • Lorsque vous ajoutez une nouvelle organisation, nous remplissons la carte Organization Contact (Contact de l’organisation) avec vos propres coordonnées.

Pour utiliser un autre contact d’organisation, supprimez celui qui a été spécifié automatiquement et ajoutez-en un manuellement.

enhancement

Nous avons simplifié la façon d’Ajouter des contacts pour les commandes de certificat EV (EV SSL, Secure Site SSL, etc.). Désormais, lorsque vous commandez un certificat EV, les cartes Verified Contact (Contact vérifié) sont automatiquement remplies à votre place si les informations relatives aux contacts vérifiés EV sont disponibles dans votre compte. Si besoin, vous pouvez ajouter des contacts d’organisation et des contacts techniques.

  • Lorsque vous ajoutez une CSR qui inclut une organisation existante dans votre compte, nous remplissons la carte Verified Contact (Contact vérifié) avec les informations des contacts EV vérifiés affectés à cette organisation.
  • Lorsque vous ajoutez manuellement une organisation existante, nous remplissons la carte Verified Contact (Contact vérifié) avec les informations des contacts EV vérifiés affectés à cette organisation.

L’affectation de contacts vérifiés à une organisation ne constitue pas une condition préalable à l’ajout d’une organisation. Il peut parfois arriver que les coordonnées des contacts vérifiés ne soient pas disponibles pour une organisation donnée. Dans ce cas, vous devez ajouter les contacts vérifiés manuellement.

new

Nous avons intégré une nouvelle fonction, Add contact (Ajouter un contact), aux formulaires de demande de certificat SSL/TLS OV pour vous permettre d’ajouter un seul contact technique et un seul contact d’organisation au cours du processus de demande.

Auparavant, vous ne pouviez pas ajouter de contact lors des commandes de certificats SSL/TLS OV (tels que les certificats Secure Site SSL et Multi-Domain SSL).

Remarque : Un contact technique est une personne que nous pouvons joindre en cas de problème lors du traitement de votre commande. Un contact d’organisation est une personne que nous pouvons joindre lorsque nous procédons à la validation de votre organisation pour votre certificat.

enhancement

Nous avons amélioré la fonction Add contact (Ajouter un contact) des formulaires de demande de certificat SSL/TLS EV pour vous permettre d’ajouter un seul contact technique et un seul contact d’organisation au cours du processus de demande.

Auparavant, vous ne pouviez ajouter que des contacts vérifiés (pour certificats EV) lors des commandes de certificats SSL/TLS EV (tels que les certificats Secure Site EV et EV Multi-Domain SSL).

Remarque : Un contact technique est une personne que nous pouvons joindre en cas de problème lors du traitement de votre commande. Un contact d’organisation est une personne que nous pouvons joindre lorsque nous procédons à la validation de votre organisation pour votre certificat.