Filtrage par : intermediate CA certificates x effacer
compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

enhancement

CertCentral Services API: Auto-reissue support for Multi-year Plans

We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.

You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.

Enable auto-reissue for a new order

To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue.

By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue parameter to 1 in the body of your request.

Example request body:

Example order request body with auto reissue enabled

Note: In new order requests, we ignore the auto_reissue parameter if:

  • The product does not support Multi-year Plans.
  • Multi-year Plans are disabled for the account.

Update auto-reissue setting for existing orders

To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.

Get auto-reissue setting for an existing order

To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue. The auto_reissue parameter returns the current auto-reissue setting for the order.

new

ICA certificate chain selection for public DV flex certificates

We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:

  • GeoTrust DV SSL
  • Thawte SSL 123 DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  • Encryption Everywhere DV

You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.

This feature allows you to:

  • Set the default ICA certificate chain for each supported public DV certificate.
  • Control which ICA certificate chains certificate requestors can use to issue their DV certificate.

Configure ICA certificate chain selection

To enable ICA selection for your account:

  1. Contact your account manager or our Support team.
  2. Then, in your CertCentral account, in the left main menu, go to Settings > Product Settings.
  3. On the Product Settings page, configure the default and allowed intermediates for each supported and available DV certificate.

For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.

new

DigiCert Services API: DV certificate support for ICA certificate chain selection

In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:

Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.

Example DV certificate request:

Example DV TLS certificate request

For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.

compliance

DigiCert va cesser d'émettre certificats de signature de code en SHA-1

Le mardi 1er décembre 2020 HNR, DigiCert cessera d'émettre des certificats de signature de code SHA-1 et des certificats de signature de code EV SHA-1.

Remarque : Tous les certificats de signature de code/signature de code EV en SHA-1 resteront actifs jusqu'à leur expiration.

Pourquoi ces changements de la part de DigiCert ?

Pour respecter les nouvelles normes en vigueur dans l’industrie, les autorités de certification (AC) doivent effectuer les changements suivants d'ici au 1er janvier 2021 :

  • Cesser d'émettre des certificats de signature de code en SHA-1
  • Cesser d'émettre des certificats racines et des certificats d’AC intermédiaires en SHA-1 pour émettre des certificats d’horodatage et de signature de code utilisant l’algorithme SHA-256.

Reportez-vous à l’Annexe A des Exigences de base pour l’émission et la gestion des certificats de signature de code approuvés publiquement.

En quoi les changements concernant les certificats de signature de code SHA-1 me concernent-ils ?

Si vous devez utiliser des certificats de signature de code en SHA-1, prenez les mesures suivantes, si nécessaire, avant le 1er décembre 2020 :

  • Récupérez vos nouveaux certificats SHA-1
  • Renouvelez vos certificats SHA-1
  • Réémettez et récupérez les certificats SHA-1 dont vous avez besoin

Pour de plus amples informations sur les changements prévus au 1er décembre 2020, consultez notre article de la base de connaissances DigiCert va cesser d'émettre des certificats de signature de code en SHA-1.

Si vous avez d'autres questions, veuillez contacter votre gestionnaire de compte ou notre équipe de support.

new

DigiCert va remplacer plusieurs certificats d’AC intermédiaires

Le lundi 2 novembre 2020, DigiCert remplace un autre groupe de certificats d’AC intermédiaires (ICA). Pour obtenir la liste des certificats d’ICA remplacés, consultez notre article de la base de connaissances sur les mises à jour d’ICA DigiCert.

En quoi cela me concerne-t-il ?

Le déploiement des nouvelles ICA n’a aucun effet sur les certificats existants. Nous ne supprimons pas les anciennes ICA des magasins de certificats jusqu’à ce que tous les certificats qui en dépendent aient expiré. Par conséquent, les certificats actifs émis par les ICA remplacées resteront approuvés.

Cependant, cela affectera les certificats existants si vous demandez leur réémission, car celle-ci se fera par la nouvelle ICA. Nous vous conseillons d'inclure systématiquement l’ICA fournie à tous les certificats que vous installez. Il s'agit d'une bonne pratique recommandée depuis toujours car elle garantit que les remplacements d’ICA sont totalement transparents.

Aucune action n’est requise sauf à ce que vous ayez fait l’une des actions suivantes :

  • Épingler les anciennes versions des certificats d’AC intermédiaires
  • Coder en dur l'acceptation des anciennes versions des certificats d’AC intermédiaires
  • Opérer un magasin de confiance qui comprenne les anciennes versions

Si vous êtes concerné par l’un des cas ci-dessus, nous vous conseillons de mettre à jour votre environnement aussi vite que possible. Pour vous assurer que les certificats émis par les nouvelles ICA sont approuvés (en d'autres termes, qu’ils peuvent être rattachés à leur nouvelle ICA et à la racine de confiance), évitez d’épingler ou de coder en dur les ICA, ou effectuez les changements requis

Remplacements des certificats d’AC intermédiaire

Surveillez attentivement les pages indiquées ci-dessous. Ces pages sont actives ; elles sont mises à jour régulièrement pour donner les dernières informations concernant le remplacement des certificats d’ICA et pour fournir des copies des nouveaux certificats d’AC intermédiaire DigiCert.

DigiCert va remplacer les certificats d’AC intermédiaires

Nous remplaçons les ICA pour les raisons suivantes :

  • Promouvoir l’agilité client avec le remplacement d’ICA
  • Réduire l'étendue de l’émission de certificat de la part de toute ICA afin de limiter les conséquences des changements observés dans les normes de l’industrie et les directives du CA/Browser Forum concernant les certificats intermédiaires et les certificats d’entité finale.
  • Améliorer la sécurité sur Internet en garantissant que toutes les ICA fonctionnent dans le respect des dernières améliorations.

Si vous avez des questions, veuillez contacter votre gestionnaire de compte ou notre équipe de support.

new

Sélection de la chaîne de certificats ICA pour les certificats flexibles OV et EV publics

Nous avons le plaisir d'annoncer que les certificats OV et EV à capacités flexibles permettent désormais la sélection de la chaîne de certificats d’AC intermédiaires.

Vous pouvez ajouter une option à votre compte CertCentral vous permettant de contrôler quelle chaîne de certification d’ICA DigiCert émet vos certificats "flexibles" OV et EV publics.

Cette option vous permet de .

  • Fixez la chaîne de certification d’ICA par défaut pour chaque certificat flexible EV et OV publique.
  • Contrôlez quelles chaînes de certification d’ICA les demandeurs de certificats peuvent utiliser pour émettre leurs certificats flexibles.

Configurez la sélection de chaîne de certification d’ICA

Pour activer la sélection d’ICA sur votre compte, prenez contact avec votre gestionnaire de compte ou notre équipe de support. Puis, dans votre compte CertCentral, sur la page des paramètres de produit (dans le menu principal de gauche, rendez-vous dans Paramètres > Paramètres de produit), configurez les intermédiaires autorisés et par défaut pour chaque type de certificat flexible OV et EV.

Pour plus d'informations et pour obtenir des instructions pas à pas, consultez la page Option de chaîne de certificats ICA pour les certificats flexibles OV et EV publics.

new

Prise en charge de la sélection de chaîne de certification d’ICA par l’API Services de DigiCert

Dans l’API Services de DigiCert, nous avons effectués certains changements afin de prendre en charge la sélection d’IPA dans vos intégrations.

  • Création d'un nouveau point de terminaison Limites de produit
    Appelez ce point de terminaison pour obtenir des informations sur les limites et paramètres des produits activés pour chaque division de votre compte. Ceci inclut les valeurs d’identifiant de la chaîne de certification d’ICA par défaut et et des chaînes autorisées pour chaque produit.
  • Ajouté de la compatibilité avec la sélection d’ICA pour les requêtes de commande de certificat flexible TLS public OV et EV
    Après avoir configuré les intermédiaires autorisés pour un produit donné, vous pouvez choisir la chaîne de certification d’ICA chargée d'émettre votre certificat lorsque vous soumettez une commande via l’API.
    Transmettez l’identifiant du certificat de l’ICA émettrice en tant que valeur du paramètre ca_cert_id dans le corps de votre requête de commande.

Exemple de requête de certificat flexible :

Example flex certificate request

Pour plus d’informations sur l’utilisation de la sélection de l’ICA dans vos intégrations d’API, consultez la page Cycle de vie d'un certificat OV/EV – Sélection de l’ICA (facultatif).