Change log | docs.digicert.com

Mai 27, 2021

industry standards root certificates certificate signing request reissued certificates new certificates 3072-bit eToken ECC renewed certificates HSM code signing certificates RSA intermediate CA certificates ev code signing certificates industry changes

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

Stop issuing 2048-bit key code signing certificates
Only issue 3072-bit key or stronger code signing certificates
Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

Order new 2048-bit key certificates
Renew expiring 2048-bit key certificates
Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
DigiCert Trusted Root G4

ECC ICA and root certificates:

DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

To learn more about the Code Signing certificate changes, see Code signing changes in 2021.
To get a copy of the new intermediate CA and root certificates, see DigiCert Trusted Root Authority Certificates

If you have questions or concerns, please contact your account manager or our support team.

Décembre 1, 2020

industry changes reissued certificates renewal code signing certificates intermediate CA certificates ev code signing certificates compliance SHA-1 SHA-2

DigiCert va cesser d'émettre certificats de signature de code en SHA-1

Le mardi 1er décembre 2020 HNR, DigiCert cessera d'émettre des certificats de signature de code SHA-1 et des certificats de signature de code EV SHA-1.

Remarque : Tous les certificats de signature de code/signature de code EV en SHA-1 resteront actifs jusqu'à leur expiration.

Pourquoi ces changements de la part de DigiCert ?

Pour respecter les nouvelles normes en vigueur dans l’industrie, les autorités de certification (AC) doivent effectuer les changements suivants d'ici au 1er janvier 2021 :

Cesser d'émettre des certificats de signature de code en SHA-1
Cesser d'émettre des certificats racines et des certificats d’AC intermédiaires en SHA-1 pour émettre des certificats d’horodatage et de signature de code utilisant l’algorithme SHA-256.

Reportez-vous à l’Annexe A des Exigences de base pour l’émission et la gestion des certificats de signature de code approuvés publiquement.

En quoi les changements concernant les certificats de signature de code SHA-1 me concernent-ils ?

Si vous devez utiliser des certificats de signature de code en SHA-1, prenez les mesures suivantes, si nécessaire, avant le 1er décembre 2020 :

Récupérez vos nouveaux certificats SHA-1
Renouvelez vos certificats SHA-1
Réémettez et récupérez les certificats SHA-1 dont vous avez besoin

Pour de plus amples informations sur les changements prévus au 1er décembre 2020, consultez notre article de la base de connaissances DigiCert va cesser d'émettre des certificats de signature de code en SHA-1.

Si vous avez d'autres questions, veuillez contacter votre gestionnaire de compte ou notre équipe de support.

Mars 31, 2020

code signing certificates Microsoft driver packages kernel-mode Policy changes compliance

Microsoft met fin à la prise en charge des signatures numériques des packages de pilotes en mode noyau de tiers

Le processus de signature des packages de pilotes en mode noyau est en train de changer. À partir de 2021, Microsoft sera le seul fournisseur de signatures de code en mode noyau pour la production. Il vous faudra désormais suivre les instructions mises à jour de Microsoft pour signer tout nouveau package de pilotes en mode noyau. Consultez la page Centre de partenariat pour le matériel Windows.

Que fait DigiCert à ce sujet ?

Dans un premier temps, DigiCert a supprimé l'option de la plate-forme Microsoft Kernel-Mode Code des formulaires de demande de certificat de signature de code : nouveau, réémission et renouvellement.

Désormais, vous ne pouvez plus commander, réémettre ou renouveler un certificat de signature de code pour la plate-forme en mode noyau.

En quoi cela affecte-t-il mon certificat de signature de code en mode noyau existant ?

Vous pouvez continuer à utiliser vos certificats existants pour signer les packages de pilotes en mode noyau jusqu'à ce que la racine à laquelle il est enchaîné arrive à échéance. Les certificats racine à signature croisée de la marque DigiCert expirent en 2021.

Pour obtenir plus d'informations, consultez notre page Suppression progressive de la prise en charge par Microsoft des certificats racine à signature croisée avec des capacités de signature en mode noyau.

Mars 16, 2020

cancel order bug fix resend certificate generation email code signing certificates domain validation management Edit organization details division preferences domain validation scope enhancement New feature

CertCentral: Gestion de la validation des domaines pour tous les types de comptes

Nous sommes heureux de vous annoncer que tous les comptes CertCentral sont désormais dotés par défaut d'une gestion de validation de domaine. Désormais, tous les types de comptes ont accès aux fonctionnalités de gestion de domaine suivantes :

Ajouter des domaines directement à votre compte
Soumettre vos domaines à la pré-validation*
Gérer les validations de chaque domaine : Certificats EV et OV
Activation et désactivation de domaines

Pour utiliser les nouvelles fonctionnalités de gestion de validation des domaines, rendez-vous à la page Domains (Domaines) - dans le menu principal de gauche, cliquez sur Certificates > Domains (Certificats > Domaines).

* Pour obtenir plus d'informations sur la soumission des domaines à la pré-validation, consultez la page Prévalidation de domaine.

Remarque : Jusqu'à présent, seuls les comptes Entreprise et Partenaire avaient la possibilité de soumettre des domaines à une pré-validation et de gérer les validations de leurs domaines (validation de contrôle de domaine).

CertCentral: Les paramètres du champ d'application de la validation de domaine s'appliquent uniquement aux commandes TLS

Sur la page Division Preferences (Préférences de la division, sous Domain Control Validation (Validation du contrôle de domaine), nous avons mis à jour les paramètres Domain Validation Scope (Portée de la validation de domaine) : Soumettre le domaine exact pour validation et Soumettre les domaines de base pour validation. Ces paramètres mis à jour vous permettent de définir le comportement par défaut de la validation de domaine lorsque vous soumettez de nouveaux domaines par le biais du processus de commande de certificats TLS : EV, OV et DV. Ces paramètres ne s'appliquent plus au processus de pré-validation de domaine.*

Soumettre des noms de domaine exacts pour validation
Lors de la validation de nouveaux domaines par le processus de commande, les domaines et sous-domaines sont soumis pour validation exactement comme ils sont nommés. Une demande de validation de domaine pour sub2.sub1.exemple.com est soumise pour validation sous le nom sub2.sub1.exemple.com.
Soumettre les domaines de base pour validation
Lors de la validation de nouveaux domaines par le processus de commande, les domaines et sous-domaines sont soumis pour validation au niveau du domaine de base. Une demande de validation de domaine pour sub2.sub1.exemple.com est soumise pour validation en tant que exemple.com. N'oubliez pas que la validation d'un domaine de base valide également tous les sous-domaines de ce domaine de base.

*Comment ces changements affectent-ils le processus de pré-validation des domaines ?

Lorsque vous soumettez des domaines à la prévalidation, vous pouvez valider un domaine à n'importe quel niveau, base ou l'un des sous-domaines de niveau inférieur : exemple.com, sous-1.exemple.com, sous-2.sous-1.exemple.com, etc. Consultez la page Prévalidation de domaine.

Option "Resend create certificate email" (Renvoyer le courrier électronique de création de certificat) pour les commandes de certificat de signature de code générées par le navigateur

Nous avons ajouté l'option Resend create certificate email (Renvoyer le courrier électronique de création de certificat) à notre processus de certificat de signature de code pour les commandes où le certificat est généré dans un navigateur pris en charge : IE 11, Safari, Firefox 68, et Firefox Portable.

Désormais, lorsqu'une commande de certificat de signature de code affiche le statut Emailed to Recipient (Envoyé par courrier électronique au destinataire), vous pouvez envoyer à nouveau le courrier électronique de génération du certificat.

Pour obtenir plus d'informations, consultez la page Renvoyer le courrier électronique "de création de votre certificat de signature du code DigiCert".

Nous avons corrigé un bogue empêchant l'option Cancel Order (Annuler la commande) d'apparaître pour les commandes de certificats de signature de code (CS) avec un statut Emailed to Recipient (Envoyé par courrier électronique au destinataire). Sur la page de détails Order (Commande), l'option Cancel Order (Annuler la commande) n'apparaissait pas dans le menu déroulant Certificate Actions (Actions de certificat).

Remarque : Pour annuler la commande, vous deviez contacter notre équipe de support.

Désormais, pour annuler une commande de certificat de signature de code (CS) ayant le statut Emailed to Recipient (Envoyé par courrier électronique au destinataire), accédez à la page de détails Order (Commande) du certificat pour annuler la commande.

Pour obtenir plus d'informations, Annuler une commande de certificat.

CertCentral: Modifier les informations relatives à une organisation

Nous avons ajouté une nouvelle fonctionnalité au processus de gestion de l'organisation dans CertCentral - Edit organization details (Modifier les informations relatives à une organisation). Désormais, pour mettre à jour les informations relatives à une organisation, accédez à la page de détails Organization (Organisation) correspondante à cette organisation et cliquez sur Edit organization details (Modifier les informations relatives à une organisation).

Les étapes à suivre avant de modifier les informations d'une organisation

La modification des détails d’une organisation validée annule toute validation existante de l’organisation. Cette opération ne peut pas être annulée. Par conséquent, DigiCert devra valider l'organisation "mise à jour/nouvelle" avant que nous puissions lui émettre des certificats. Avant de commencer, assurez-vous que vous avez bien compris et que vous acceptez les conséquences d'une modification des données d'une organisation.

Pour obtenir plus d’informations, consultez la page Modifier les informations relatives à une organisation.

Septembre 3, 2019

code signing certificates compliance client certificates Keygen Firefox Emailed to Recipient Expiring Certificates

Prise en charge de la génération de clés de fin de Firefox

Avec la sortie de Firefox 69, Firefox va enfin abandonner la prise en charge de Keygen. Firefox utilise Keygen pour faciliter la génération de la clé publique lors de la génération des certificats de signature de code, client, et SMIME dans leur navigateur.

Remarque : Chrome a déjà abandonné la prise en charge de la génération de clés, alors que Edge et Opera ont toujours refusé cette option.

En quoi cela vous concerne-t-il ?

Suite à l'émission par DigiCert de vos certificats de signature de code, client ou SMIME, nous vous envoyons un courrier électronique avec un lien pour créer et installer votre certificat.

Dès que Firefox 69 sera disponible, vous ne pourrez plus utiliser que deux navigateurs pour générer ces certificats : Internet Explorer et Safari. Si la politique de l'entreprise exige l'utilisation de Firefox, vous pouvez utiliser Firefox ESR ou une copie portable de Firefox.

Pour obtenir plus d'informations, consultez la page Prise en charge de Keygen à désactiver avec Firefox 69.

Conseils et astuces

Vous pouvez toujours utiliser Firefox 69 pour l'authentification des clients. Premièrement, générez le certificat SMIME dans IE 11 ou Safari. Ensuite, importez le certificat SMIME dans Firefox.
Pour éviter de générer des certificats de signature de code, client ou SMIME dans votre navigateur, générez et soumettez un CSR avec votre commande. DigiCert vous enverra un courrier électronique avec votre certificat en pièce jointe au lieu d'un lien.

Nous avons ajouté un nouveau statut, Envoyé par courrier électronique au destinataire, sur les pages Orders (Commandes) et Order Details (Détails de la commande), pour les commandes de signature de code et de certificats client, ce qui permet d'identifier plus facilement à quel stade du processus de délivrance ces commandes se trouvent.

Ce nouveau statut indique que le DigiCert a validé la commande, et que le certificat attend que l'utilisateur/destinataire du courrier électronique le génère dans l'un des navigateurs pris en charge : IE 11, Safari, Firefox 68, et Firefox Portable.

(Dans le menu latéral, cliquez sur Certificates > Orders (Certificats > Commandes). Ensuite, sur la page Orders (Commandes), cliquez sur le numéro de commande pour la commande de certificats de signature de code ou clients.

Nous avons mis à jour nos processus de réémission de certificats de signature de code (CS) à validation étendue (EV) et de signature de document (DS), ce qui vous permet de réémettre ces certificats sans révoquer automatiquement le certificat actuel (certificat original ou réémis précédemment).

Remarque : Si vous n'avez pas besoin du certificat actuel (certificat original ou réémis précédemment), vous devrez contacter le service d'assistance afin qu'il puisse le révoquer pour vous.

La prochaine fois que vous réémettrez un certificat EV CS ou DS, vous pourrez conserver le certificat précédemment émis pendant sa période de validité actuelle (ou aussi longtemps que vous en aurez besoin).

Avril 18, 2019

SHA1 certcentral-ui code signing certificates enhancement

DigiCert maintiendra la prise en charge des signatures SHA1 pour les certificats de signature de code. Nous supprimons le délai d’expiration maximal à compter du 30 décembre 2019.