CertCentral Services API: Improved Domain emails endpoint
To make it easier to find the DNS TXT email addresses that receive validation emails from DigiCert for email-based domain control validation (DCV), we added a new response parameter to the Domain emails endpoint: dns_txt_emails
.
The dns_txt_emails
parameter returns a list of email addresses found in the DNS TXT record for the domain. These are the email addresses we find in the DNS TXT record on the _validation-contactemail
subdomain of the domain being validated.
Example response with new parameter:
To learn more about the newly supported email to DNS TXT contact DCV method:
For information about validating the domains on DV certificate orders:
For information about validating the domains on OV/EV certificate orders:
CertCentral: Email to DNS TXT contact DCV method
We are happy to announce that DigiCert now supports sending an email to a DNS TXT contact for email-based domain control validation (DCV). This means you can add email addresses to the DNS TXT record for your domain. DigiCert automatically searches the DNS TXT records and sends the DCV email to those addresses. An email recipient needs to follow the instructions in the email to demonstrate control over the domain.
Note: Previously, DigiCert only sent DCV emails to WHOIS-based and constructed email addresses.
Industry changes
Contact information is becoming increasingly inaccessible in WHOIS records due to privacy policies and other constraints. With the passing of Ballot SC13, the Certificate Authority/Browser (CA/B) forum added Email to DNS TXT contact to the list of supported DCV methods.
DNS TXT record email contacts
To use email to Email to DNS TXT contact DCV method, you must place the DNS TXT record on the _validation-contactemail subdomain of the domain you want to validate. DigiCert automatically searches WHOIS and DNS TXT records and sends the DCV email to the addresses found in those records.
_validation-contactemail.example.com | Default | validatedomain@digicerttest.com
The RDATA value of this text record must be a valid email address. See section B.2.1 DNS TXT Record Email Contact in the Appendix of the baseline requirements.
For more information about Ballot SC13, the CA/Browser forum, and the email to DNS TXT contact DCV method:
CertCentral Orders page: Improved load times
In CertCentral, we updated the Orders page to improve load times for those managing high volumes of certificate orders. The next time you visit the Orders page, it will open much quicker (in the left main menu go to Certificates > Orders).
To improve load times, we changed the way we filter your certificate orders upon initial page view. Previously, we filtered the page to show only Active certificate orders. However, this was problematic for those with high volumes of certificate orders. The more orders you have in your account, the longer the Orders page took to open.
Now, when you visit the page, we return all your certificates, unfiltered, in descending order with the most recently created certificate orders appearing first in the list. To see only your active certificates, in the Status dropdown, select Active and click Go.
CertCentral Services API: Purchase units for subaccounts and view unit orders
In the CertCentral Services API, we've added new endpoints for purchasing units and viewing unit orders. Now, if you manage subaccounts that use units as the payment method for certificate requests, you can use the Services API to buy more units for a subaccount and to get information about your unit order history.
For more information, see the reference documentation for the new endpoints:
DigiCert replacing multiple intermediate CA certificates
On November 2, 2020, DigiCert is replacing another set of intermediate CA certificates (ICAs). For a list of the ICA certificates being replaced, see our DigiCert ICA Update KB article.
How does this affect me?
Rolling out new ICAs does not affect existing certificates. We don't remove an old ICA from certificate stores until all the certificates issued from it have expired. This means active certificates issued from the replaced ICA will continue to be trusted.
However, it will affect existing certificates if you reissue them as they will be issued from the new ICA. We advise you to always include the provided ICA with every certificate you install. This has always been the recommended best practice to ensure ICA replacements go unnoticed.
No action is required unless you do any of the following:
If you do any of the above, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICAs are trusted (in other words, can chain up to their updated ICA and trusted root).
Intermediate CA certificate replacements
Make sure to monitor the pages listed below. These are active pages and are updated regularly with ICA certificate replacement information and copies of the new DigiCert intermediate CA certificates.
Why is DigiCert replacing intermediate CA certificates?
We are replacing ICAs to:
If you have questions or concerns, please contact your account manager or our support team.
ICA certificate chain selection for public OV and EV flex certificates
We are happy to announce that public OV and EV certificates with flex capabilities now support Intermediate CA certificate chain selection.
You can add an option to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues your public OV and EV "flex" certificates.
This option allows you to:
Configure ICA certificate chain selection
To enable ICA selection for your account, contact your account manager or our Support team. Then, in your CertCentral account, on the Product Settings page (in the left main menu, go to Settings > Product Settings), configure the default and allowed intermediates for each type of OV and EV flex certificate.
For more information and step-by-step instructions, see ICA certificate chain option for public OV and EV flex certificates.
DigiCert Services API support for ICA certificate chain selection
In the DigiCert Services API, we made the following updates to support ICA selection in your API integrations:
ca_cert_id
parameter in the body of your order requestExample flex certificate request:
For more information about using ICA selection in your API integrations, see OV/EV certificate lifecycle – (Optional) ICA selection.
CertCentral: Add emergency contacts for your account
We are happy to announce we added a new emergency contact option to CertCentral. These email addresses receive all emergency communications, such as urgent security concerns, required certificate revocations, and changes to industry guidelines.
By default, CertCentral sends emergency notifications to the organization contact for the primary organization on your account. Until you update your emergency contacts, we also send these notifications to the email addresses assigned to receive all account notifications.
We recommend verifying and updating the emergency contacts for your account. It should only take a few minutes.
To verify and update the emergency contacts for your account:
Discovery: Delete all certificates and endpoints from scan results
We added a new Delete all certificates and endpoints option that enables you to delete certificate and endpoint information from your Discovery scan records in your CertCentral account.
To Delete all certificates and endpoints from scan results:
Permanently delete certificates and endpoint records
To permanently delete certificate and endpoint information from your scan results, you also need to remove the associated FQDNs and IP addresses from you scans. See Edit a scan.
Paramètres du compte pour la préférence linguistique du courrier électronique relatif au cycle de vie du certificat
Nous avons ajouté un paramètre linguistique du compte pour les courriers électroniques relatifs au cycle de vie des certificats envoyés par CertCentral. Désormais, sur la page Notifications, vous pouvez définir la langue souhaitée pour les courriers électroniques relatifs au cycle de vie des certificats pour l'ensemble du compte.
Actuellement, nous prenons en charges ces 11 langues pour les courriers électroniques spécifiques au cycle de vie des certificats :
Comment fonctionne la sélection de la langue du courrier électronique relatif au cycle de vie du certificat ?
Sur la page Notifications de CertCentral, utilisez le menu déroulant Email Language (Langue du courrier électronique) pour définir la langue pour les courriers électroniques relatifs au cycle de vie du certificat pour l'ensemble du compte.
Par exemple, si vous définissez la langue du courrier électronique en italien, tous les courriers électroniques relatifs au cycle de vie du certificat seront en italien, quelle que soit la langue du compte individuel.
Remarque : L'option Email Language (Langue du courrier électronique) ne modifie que la langue utilisée dans les courriers électroniques relatifs au cycle de vie du certificat. Elle ne modifie pas la langue utilisée dans un compte individuel. Sur la page Profile Settings (Paramètres du profil), dans le menu déroulant Language (Langue), sélectionnez une langue pour votre compte. Consultez la page Préférences de langue CertCentral.
Où se trouvent les paramètres du cycle de vie des certificats ?
Pour accéder aux paramètres Certificate Lifecycle email defaults (Courrier électronique par défaut relatif au cycle de vie du certificat), dans le menu principal de gauche, cliquez sur Settings > Notifications (Paramètres > Notifications). Pour obtenir plus d'informations, consultez la page Configuration des paramètres de courriers relatifs au cycle de vie des certificats.
Nouveaux paramètres liés au courrier électronique relatif au cycle de vie des certificats
Nous avons ajouté un autre paramètre de notification aux paramètres du courrier électronique du cycle de vie du certificat - Envoyer des courriers électroniques relatifs à l'approbation de l'organisation à l'utilisateur qui passe la commande. Ce paramètre vous permet de contrôler si le courrier électronique d'approbation de l'organisation est envoyé au demandeur du certificat.
En quoi consiste le courrier électronique d'approbation de l'organisation ?
*Si le demandeur est un administrateur ou un contact de l'organisation, nous lui envoyons un courrier électronique pour lui indiquer que DigiCert a validé l'organisation et qu'il peut désormais émettre des certificats pour celle-ci.
Remarque : Ce nouveau paramètre ne s'applique qu'aux commandes dans lesquelles figure une nouvelle organisation, qui doit encore être validée, dans la demande.
Où se trouvent les paramètres du cycle de vie des certificats ?
Pour accéder aux paramètres Certificate Lifecycle email defaults (Courrier électronique par défaut relatif au cycle de vie du certificat), dans le menu principal de gauche, cliquez sur Settings > Notifications (Paramètres > Notifications). Pour obtenir plus d'informations, consultez la page Configuration des destinataires de courriers relatifs au cycle de vie des certificats.
Discovery désormais disponible dans tous les comptes CertCentral
Nous sommes heureux de vous annoncer que tous les comptes CertCentral existants incluent désormais Discovery, notre outil de détection de certificats le plus récent et le plus performant.
Remarque : Pour les utilisateurs de Certificate Inspector, Discovery remplace notre outil DigiCert traditionnel, Certificate Inspector.
Par défaut, Discovery propose l'analyse dans le cloud et un essai d'analyse par capteur avec une limite de 100 certificats.
Analyse dans le cloud
L'analyse dans le cloud utilise un capteur dans le cloud, de sorte que vous n'avez rien à installer ou à gérer. Vous pouvez lancer l'analyse immédiatement pour détecter tous vos certificats SSL/TLS publics, quelle que soit l'autorité de certification (AC) qui les émet. L'analyse dans le cloud est effectuée une fois toutes les 24 heures.
Analyse par capteur
Sensor scan est notre version la plus aboutie de Discovery. Elle utilise des capteurs pour analyser votre réseau et rechercher rapidement tous vos certificats SSL/TLS internes et publics quelle que soit l’autorité de certification (CA) émettrice. Discovery identifie également les problèmes de configuration et de mise en œuvre des certificats, ainsi que les vulnérabilités ou les problèmes liés aux certificats dans la configuration de vos points de terminaison.
Les analyses sont configurées de manière centralisée et gérées depuis votre compte CertCentral. Les résultats sont affichés sur un tableau de bord intuitif et interactif dans CertCentral. Vous pouvez configurer les analyses de sorte qu’elles s’exécutent de manière ponctuelle ou plusieurs fois à des horaires définis.
Journaux d'audit Discovery
Discovery a ajouté une nouvelle fonctionnalité -Journaux d'audit Discovery- qui vous permet de suivre les activités liées à Discovery dans votre compte CertCentral. Ces journaux d'audit vous renseignent sur l'activité des utilisateurs et vous permettent de consulter les domaines dans lesquels une formation peut être nécessaire, de reconstituer les événements afin de résoudre les problèmes, de détecter les abus et de découvrir les secteurs problématiques.
Afin de faciliter le tri des informations dans les journaux d'audit Discover, nous avons inclus plusieurs filtres :
Pour accéder aux journaux d’audit, dans votre compte CertCentral, depuis le menu principal de gauche, cliquez sur Account > Audit Logs (Compte > Journaux d’audit). Sur la page Audit Logs (Journaux d’audit), cliquez sur Discovery Audit Logs (Journaux d'audit Discovery).
Prise en charge des langues sur Discovery
Alors que nous nous efforçons de mondialiser notre offre de produits et de rendre nos sites web, nos plateformes et notre documentation plus accessibles, nous sommes heureux de vous annoncer que nous avons ajouté la prise en charge des langues à Discovery dans CertCentral.
Désormais, lorsque vous configurez votre préférence linguistique dans CertCentral, Discovery est inclus dans la configuration.
Pour configurer votre préférence linguistique
Une fois dans votre compte, accédez au menu déroulant de "votre nom" situé dans le coin supérieur droit, puis sélectionnez My Profile (Mon profil). Sur la page Profile Settings (Paramètres du profil), dans le menu déroulant Language (Langue), sélectionnez une langue, puis cliquez sur Save Changes (Enregistrer les modifications).
Consultez la page Préférences de langue CertCentral.
Correction d'un bogue : Les commandes de certificats DV n'ont pas pris en compte le paramètre de compte Soumettre les domaines de base pour validation
Nous avons corrigé un bogue dans le processus de validation du contrôle des domaines des certificats DV (DCV) où les commandes de certificats DV n'adhéraient pas au paramètre de compte Soumettre les domaines de base pour validation.
Remarque : Pour les commandes de certificats DV, il vous était demandé de valider le domaine exactement comme indiqué dans la commande.
Désormais, les commandes de certificats DV prennent en compte le paramètre du compte de validation Soumettre les domaines de base pour validation, ce qui vous permet de valider vos sous-domaines au niveau du domaine de base sur vos commandes de certificats DV.
Pour afficher les paramètres du champ d'application de la validation de domaine dans votre compte, cliquez sur Settings > Preferences (Paramètres > Préférences). Sur la page Division Preference (Préférence de division), développez le menu Advanced Settings (Paramètres avancés). Les paramètres Domain Validation Scope (Champ d'application de la validation de domaine) se trouvent dans la section Domain Control Validation (DCV) (Validation du contrôle de domaine).
Nous avons ajouté deux nouveaux statuts aux pages Organizations (Organisations) et Organization details (Détails des organisations) : la validation expire bientôt, et la validation est arrivée à échéance. Ces nouveaux statuts facilitent le suivi proactif des validations de votre organisation et permettent de s'assurer qu'elles restent à jour.
Désormais, lorsque vous vous rendez sur la page Organizations (Organisations) - dans le menu latéral, cliquez sur Certificates > Organizations (Certificats > Organisations), vous pouvez rapidement identifier les organisations dont la validation arrive bientôt à échéance ou est déjà arrivée à échéance. Pour obtenir plus de détails sur la validation de l'organisation qui arrive à échéance ou qui est arrivée à échéance, cliquez sur le nom de l'organisation.
Nous avons corrigé un bogue qui empêchait certains comptes de soumettre des organisations pour EV CS - Validation d’organisation étendue pour signature de code (EV CS). Les comptes concernés ne contenaient que des produits EV Code Signing et Code Signing.
Pour remédier à ce problème, nous avons divisé les options de contact vérifiées de EV et de EV CS. Désormais, lorsque vous soumettez une organisation pour EV CS - Validation d’organisation étendue pour signature de code (EV CS), vous pouvez soumettre le contact vérifié de l'organisation uniquement pour l'approbation des commandes EV CS. De même, lorsque vous soumettez une organisation pour EV - Validation d’organisation étendue (EV), vous pouvez soumettre le contact vérifié de l'organisation pour les approbations de commande de certificats SSL EV uniquement.
Remarque : Pour les commandes de certificats de signature de code EV, les organisations et les contacts vérifiés de l'organisation doivent être pré-validés. Pour obtenir plus d'informations sur la pré-validation des organisations, consultez la page Soumettre une organisation aux instructions de pré-validation.
Nous avons corrigé un bogue qui empêchait certains administrateurs de comptes d'afficher ou de modifier les détails de leurs comptes d'utilisateur CertCentral. Désormais, tous les administrateurs de compte peuvent à nouveau consulter et modifier les détails de leur compte utilisateur (adresse de courrier électronique, rôle, etc.).
DigiCert est heureux d'annoncer que les comptes DigiCert peuvent désormais être mis à niveau vers notre nouvelle plate-forme de gestion de certificats appelée DigiCert CertCentral et ce, gratuitement !
Pour obtenir plus d'informations sur CertCentral, visionnez notre courte vidéo Comment gérer l'ensemble du cycle de vie de votre certificat en 60 secondes ou moins.
Nous avons intégré un nouvel outil à notre portefeuille CertCentral—Discovery—qui effectue des analyses en temps réel de toute votre flotte de certificats SSL/TLS.
Conçu pour repérer rapidement tous vos certificats SSL/TLS internes et publics indépendamment de l’autorité de certification, Discovery identifie les problèmes de configuration, de mise en œuvre ou de vulnérabilité des certificats, ainsi que les problèmes de configuration dans vos points de terminaison.
Remarque : Discovery fait appel à des capteurs pour analyser votre réseau. Il s’agit de petites applications logicielles à installer à des emplacements stratégiques. Chaque analyse est liée à un capteur.
Les analyses sont configurées de manière centralisée et gérées depuis votre compte CertCentral. Les résultats sont affichés sur un tableau de bord intuitif et interactif dans CertCentral. Vous pouvez configurer les analyses de sorte qu’elles s’exécutent de manière ponctuelle ou plusieurs fois à des horaires définis.
Nous avons mis à jour les paramètres de fédération SAML dans CertCentral pour empêcher que votre nom de fédération apparaisse sur la liste des IdP des pages SAML Single Sign-On IdP Selection (Sélection de l’IdP pour l’authentification SSO SAML) et SAML certificate requests IdP Selection (Sélection de l’Idp pour les demandes de certificat via SAML).
Désormais, la page « Federation Settings » (Paramètres de fédération) sous les métadonnées de votre IdP, offre l’option Include Federation Name (Inclure le nom de fédération). Si vous ne souhaitez pas que votre nom de fédération apparaisse sur la liste des IdP de la page Sélection de l’IdP,, il vous suffit de désélectionner l’option Add my Federation Name to the list of IdPs (Ajouter le nom de ma fédération à la liste l’IdP).
Les certificats TLS/SSL Secure Site Pro sont disponibles dans CertCentral. Avec un certificat Secure Site Pro, le coût de chaque domaine vous est facturé et non pas le coût de base du certificat. Si vous ajoutez un domaine, un seul vous est facturé. Si vous avez besoin de neuf domaines, les neufs domaines vous sont facturés. Vous pouvez protéger jusqu’à 250 domaines avec un seul certificat.
Nous proposons deux types de certificats Secure Site Pro, à savoir, un pour les certificats OV et un pour les certificats EV.
Avantages inclus avec chaque certificat Secure Site Pro
Chaque certificat Secure Site Pro inclut – sans coût supplémentaire – un accès prioritaire aux futures fonctions premium intégrées à CertCentral (par ex., le suivi des journaux CT et la gestion des validations).
Autres avantages :
Pour activer les certificats Secure Site Pro pour votre compte CertCentral, prenez contact avec votre gestionnaire de compte ou notre équipe de support.
Pour obtenir plus d'informations sur nos certificats Secure Site Pro, consultez la page Certificats DigiCert Secure Site Pro.
Les certificats SSL publics ne sont plus à même de protéger les noms de domaines comportant des traits de soulignement ("_"). Tous les certificats précédemment émis pour des domaines comportant des domaines comportant des traits de soulignement doivent expirer avant cette date.
Remarque : La solution préférée consiste à renommer les autres noms d’hôte (FQDN) qui contiennent des traits de soulignement et de remplacer les certificats. Toutefois, dans les cas où le remplacement du nom est impossible, vous pouvez utiliser des certificats privés et, dans certains cas, un certificat à caractère générique qui protège l’intégralité du domaine.
Pour plus de précisions, consultez la page Retiring Underscores in Domain Names (Révoquer les noms de domaine comportant des traits de soulignement).
Nous avons amélioré notre offre de certificat RapidSSL DV pour vous permettre d’inclure un deuxième domaine spécifique avec ces certificats pour domaine unique.
Consultez la page CertCentral: DV Certificate Enrollment Guide (CertCentral : guide d’inscription des certificats DV).
Nous avons amélioré les points de terminaison liés aux certificats RapidSSL en ajoutant un paramètre dns_names pour vous permettre d’inclure un deuxième domaine spécifique avec ces certificats pour domaine unique.
"common_name": "[your-domain].com",
"dns_names" : ["www.[votre-domaine].com"],
"common_name": "*.your-domain.com",
"dns_names" : ["[votre-domaine].com"],
Pour consulter la documentation consacrée aux API Services de DigiCert, sélectionnez API CertCentral API.
Des certificats individuels de signature de document sont disponibles dans CertCentral :
Pour activer les certificats Individual Document Signing pour votre compte CertCentral, prenez contact avec votre représentant commercial.
Auparavant, seuls les certificats Organization Document Signing étaient disponibles.
Pour obtenir plus d'informations sur ces certificats, consultez la page Certificats de signature de document.
Les certificats RapidSSL et GeoTrust DV sont disponibles dans CertCentral :
Documentation
DigiCert rend public un autre journal de transparence des certificats (Nessie). Nessie est un nouveau journal de transparence des certificats (CT) extrêmement évolutif et performant.
Ce journal CT se compose de cinq journaux répartis par tranches de un an en fonction de l’expiration des certificats. Vous trouverez ci-dessous les URL des points de terminaison du journal CT.