DigiCert to stop issuing SHA-1 code signing certificates
On Tuesday, December 1, 2020 MST, DigiCert will stop issuing SHA-1 code signing and SHA-1 EV code signing certificates.
Note: All existing SHA-1 code signing/EV code signing certificates will remain active until they expire.
Why is DigiCert making these changes?
To comply with the new industry standards, certificate authorities (CAs) must make the following changes by January 1, 2021:
See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates.
How do the SHA-1 code signing certificate changes affect me?
If you rely on SHA-1 code signing certificates, take these actions as needed before December 1, 2020:
For more information about the December 1, 2020 changes, see our knowledgebase article DigiCert to Stop Issuing SHA-1 Code Signing Certificates.
If you have additional questions, please contact your account manager or our support team.
Microsoft met fin à la prise en charge des signatures numériques des packages de pilotes en mode noyau de tiers
Le processus de signature des packages de pilotes en mode noyau est en train de changer. À partir de 2021, Microsoft sera le seul fournisseur de signatures de code en mode noyau pour la production. Il vous faudra désormais suivre les instructions mises à jour de Microsoft pour signer tout nouveau package de pilotes en mode noyau. Consultez la page Centre de partenariat pour le matériel Windows.
Que fait DigiCert à ce sujet ?
Dans un premier temps, DigiCert a supprimé l'option de la plate-forme Microsoft Kernel-Mode Code des formulaires de demande de certificat de signature de code : nouveau, réémission et renouvellement.
Désormais, vous ne pouvez plus commander, réémettre ou renouveler un certificat de signature de code pour la plate-forme en mode noyau.
En quoi cela affecte-t-il mon certificat de signature de code en mode noyau existant ?
Vous pouvez continuer à utiliser vos certificats existants pour signer les packages de pilotes en mode noyau jusqu'à ce que la racine à laquelle il est enchaîné arrive à échéance. Les certificats racine à signature croisée de la marque DigiCert expirent en 2021.
Pour obtenir plus d'informations, consultez notre page Suppression progressive de la prise en charge par Microsoft des certificats racine à signature croisée avec des capacités de signature en mode noyau.
CertCentral: Gestion de la validation des domaines pour tous les types de comptes
Nous sommes heureux de vous annoncer que tous les comptes CertCentral sont désormais dotés par défaut d'une gestion de validation de domaine. Désormais, tous les types de comptes ont accès aux fonctionnalités de gestion de domaine suivantes :
Pour utiliser les nouvelles fonctionnalités de gestion de validation des domaines, rendez-vous à la page Domains (Domaines) - dans le menu principal de gauche, cliquez sur Certificates > Domains (Certificats > Domaines).
* Pour obtenir plus d'informations sur la soumission des domaines à la pré-validation, consultez la page Prévalidation de domaine.
Remarque : Jusqu'à présent, seuls les comptes Entreprise et Partenaire avaient la possibilité de soumettre des domaines à une pré-validation et de gérer les validations de leurs domaines (validation de contrôle de domaine).
CertCentral: Les paramètres du champ d'application de la validation de domaine s'appliquent uniquement aux commandes TLS
Sur la page Division Preferences (Préférences de la division, sous Domain Control Validation (Validation du contrôle de domaine), nous avons mis à jour les paramètres Domain Validation Scope (Portée de la validation de domaine) : Soumettre le domaine exact pour validation et Soumettre les domaines de base pour validation. Ces paramètres mis à jour vous permettent de définir le comportement par défaut de la validation de domaine lorsque vous soumettez de nouveaux domaines par le biais du processus de commande de certificats TLS : EV, OV et DV. Ces paramètres ne s'appliquent plus au processus de pré-validation de domaine.*
*Comment ces changements affectent-ils le processus de pré-validation des domaines ?
Lorsque vous soumettez des domaines à la prévalidation, vous pouvez valider un domaine à n'importe quel niveau, base ou l'un des sous-domaines de niveau inférieur : exemple.com, sous-1.exemple.com, sous-2.sous-1.exemple.com, etc. consultez la page Prévalidation de domaine.
Option "Resend create certificate email" (Renvoyer le courrier électronique de création de certificat) pour les commandes de certificat de signature de code générées par le navigateur
Nous avons ajouté l'option Resend create certificate email (Renvoyer le courrier électronique de création de certificat) à notre processus de certificat de signature de code pour les commandes où le certificat est généré dans un navigateur pris en charge : IE 11, Safari, Firefox 68, et Firefox Portable.
Désormais, lorsqu'une commande de certificat de signature de code affiche le statut Emailed to Recipient (Envoyé par courrier électronique au destinataire), vous pouvez envoyer à nouveau le courrier électronique de génération du certificat.
Pour obtenir plus d'informations, consultez la page Renvoyer le courrier électronique "de création de votre certificat de signature du code DigiCert".
Nous avons corrigé un bogue empêchant l'option Cancel Order (Annuler la commande) d'apparaître pour les commandes de certificats de signature de code (CS) avec un statut Emailed to Recipient (Envoyé par courrier électronique au destinataire). Sur la page de détails Order (Commande), l'option Cancel Order (Annuler la commande) n'apparaissait pas dans le menu déroulant Certificate Actions (Actions de certificat).
Remarque : Pour annuler la commande, vous deviez contacter notre équipe de support.
Désormais, pour annuler une commande de certificat de signature de code (CS) ayant le statut Emailed to Recipient (Envoyé par courrier électronique au destinataire), accédez à la page de détails Order (Commande) du certificat pour annuler la commande.
Pour obtenir plus d'informations, Annuler une commande de certificat.
CertCentral: Modifier les informations relatives à une organisation
Nous avons ajouté une nouvelle fonctionnalité au processus de gestion de l'organisation dans CertCentral - Edit organization details (Modifier les informations relatives à une organisation). Désormais, pour mettre à jour les informations relatives à une organisation, accédez à la page de détails Organization (Organisation) correspondante à cette organisation et cliquez sur Edit organization details (Modifier les informations relatives à une organisation).
Les étapes à suivre avant de modifier les informations d'une organisation
La modification des informations relatives à une organisation validée annule toute validation existante pour l'organisation. Cette action ne peut pas être annulée. Par conséquent, DigiCert devra valider l'organisation "mise à jour/nouvelle" avant que nous puissions lui émettre des certificats. Avant de commencer, assurez-vous que vous avez bien compris et que vous acceptez les conséquences d'une modification des données d'une organisation.
Pour obtenir plus d’informations, consultez la page Modifier les informations relatives à une organisation.
Prise en charge de la génération de clés de fin de Firefox
Avec la sortie de Firefox 69, Firefox va enfin abandonner la prise en charge de Keygen. Firefox utilise Keygen pour faciliter la génération de la clé publique lors de la génération des certificats de signature de code, client, et SMIME dans leur navigateur.
Remarque : Chrome a déjà abandonné la prise en charge de la génération de clés, alors que Edge et Opera ont toujours refusé cette option.
En quoi cela vous concerne-t-il ?
Suite à l'émission par DigiCert de vos certificats de signature de code, client ou SMIME, nous vous envoyons un courrier électronique avec un lien pour créer et installer votre certificat.
Dès que Firefox 69 sera disponible, vous ne pourrez plus utiliser que deux navigateurs pour générer ces certificats : Internet Explorer et Safari. Si la politique de l'entreprise exige l'utilisation de Firefox, vous pouvez utiliser Firefox ESR ou une copie portable de Firefox.
Pour obtenir plus d'informations, consultez la page Prise en charge de Keygen à désactiver avec Firefox 69.
Conseils et astuces
Nous avons ajouté un nouveau statut, Envoyé par courrier électronique au destinataire, sur les pages Orders (Commandes) et Order Details (Détails de la commande), pour les commandes de signature de code et de certificats client, ce qui permet d'identifier plus facilement à quel stade du processus de délivrance ces commandes se trouvent.
Ce nouveau statut indique que le DigiCert a validé la commande, et que le certificat attend que l'utilisateur/destinataire du courrier électronique le génère dans l'un des navigateurs pris en charge : IE 11, Safari, Firefox 68, et Firefox Portable.
(Dans le menu latéral, cliquez sur Certificates > Orders (Certificats > Commandes). Ensuite, sur la page Orders (Commandes), cliquez sur le numéro de commande pour la commande de certificats de signature de code ou clients.
Nous avons mis à jour nos processus de réémission de certificats de signature de code (CS) à validation étendue (EV) et de signature de document (DS), ce qui vous permet de réémettre ces certificats sans révoquer automatiquement le certificat actuel (certificat original ou réémis précédemment).
Remarque : Si vous n'avez pas besoin du certificat actuel (certificat original ou réémis précédemment), vous devrez contacter le service d'assistance afin qu'il puisse le révoquer pour vous.
La prochaine fois que vous réémettrez un certificat EV CS ou DS, vous pourrez conserver le certificat précédemment émis pendant sa période de validité actuelle (ou aussi longtemps que vous en aurez besoin).
DigiCert maintiendra la prise en charge des signatures SHA1 pour les certificats de signature de code. Nous supprimons le délai d’expiration maximal à compter du 30 décembre 2019.
