Filtraggio per: EV SSL certificates x cancella
new

Updates to OV and EV TLS certificate profiles

As we work to align our DV, OV, and EV TLS certificate profiles, we are making a minor change to our OV and EV TLS certificate profiles. Starting January 25, 2022, we will set the Basic Constraints extension to noncritical in our OV and EV TLS certificate profiles.

Note: DV TLS certificates are already issued with the Basic Constraints extension set to noncritical.

What do I need to do?

No action is required on your part. You shouldn't notice any difference in your certificate issuance process.

However, if your TLS certificate process requires the Basic Constraints extension to bet set to critical, contact your account manager or DigiCert Support immediately.

compliance

Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)

To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.

To learn more about the industry change, see Domain validation policy changes in 2021.

How does this affect me?

As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:

  • Validate wildcard domains (*.example.com)
  • To include subdomains in the domain validation when validating the higher-level domain. For example, if you want to cover www.example.com, when you validate the higher-level domain, example.com.
  • Prevalidate entire domains and subdomains.

To learn more about the supported DCV method for DV, OV, and EV certificate requests:

compliance

CertCentral: Pending certificate requests and domain prevalidation using file-based DCV

Pending certificate request

If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.

*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.

To learn more about the supported DCV methods for DV, OV, and EV certificate requests:

Domain prevalidation

If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.

To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.

compliance

CertCentral Services API

If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).

enhancement

CertCentral Services API: Improved domains array in OV/EV order response

To make it easier to see how the Services API groups the domains on your OV/EV TLS certificate orders for validation, we added a new response parameter to the endpoints for submitting certificate order requests: domains[].dns_name.*

The dns_name parameter returns the common name or SAN of the domain on the order. To prove you control this domain, you must have an active validation for the domain associated with the domains[].name and domains[].id key/value pairs.

Example OV certificate order

JSON payload:

JSON payload

JSON response:

JSON response

The Services API returns the domains[].dns_name parameter in the JSON response for the following endpoints:

*Note: Only order requests for OV/EV TLS certificates return a domains array.

enhancement

CertCentral: Migliorata la pagina Organizzazioni

Per facilitare la ricerca delle tue organizzazioni nella pagina Organizzazioni, ora visualizziamo tre nuove parti di informazioni su ciascun organizzazione. Questa informazione aggiuntiva è utile quando hai delle organizzazioni con nomi identici o simili:

  • ID
  • Nome presunto (se usato)
  • Indirizzo

Nella pagina Organizzazioni, ora vedrai una colonna N. Org.cion con l’ID dell’organizzazione. Inoltre, vedrai gli indirizzi dell’organizzazione visualizzati sotto i nomi. E, se utilizzi il nome utilizzato dell’organizzazione, lo vedrai tra parentesi vicino al nome organizzazione.

Nota: In precedenza, l’unico modo per visualizzare queste informazioni era fare clic sul nome organizzazione e aprire la pagina dei dettagli dell’organizzazione.

Per ulteriori informazioni sulle organizzazioni in CertCentral, consulta Gestisci organizzazioni.

enhancement

CertCentral: Migliorata l’opzione Aggiungi organizzazione nei moduli di richiesta certificato OV/EV

Per facilitare l’ordine di un certificato TLS/SSL per un’organizzazione nel tuo account, abbiamo aggiornato l’opzione Aggiungi organizzazione nei moduli di richiesta certificati EV ed OV.

Per gli account che emettono i certificati per 10 organizzazioni o più, ora visualizziamo tre nuove parti delle informazioni organizzazione. Questa informazione è utile quando hai delle organizzazioni con nomi identici o simili:

  • Nome presunto (se usato)
  • ID Organizzazione
  • Indirizzo

Inoltre, abbiamo la capacità di digitare il nome dell’organizzazione che stai cercando.

Consulta per te stesso

La prossima volta che richiedi un certificato TLS/SSL OV o EV, fai clic su Aggiungi organizzazione. Nel menu a discesa Organizzazione, vedrai le seguenti informazioni organizzazione: nome, nome presunto (se usato), ID e indirizzo. Puoi anche digitare il nome organizzazione.

enhancement

API CertCentral Services: Token DCV aggiunti per i nuovi domini ai dati di risposta per gli ordini di certificato OV ed EV

Abbiamo aggiornato gli endpoint per ordinare i certificati SSL OV ed EV pubblici per riportare i token di richiesta convalida del controllo del dominio (DCV) per i nuovi domini sull’ordine.

Ora, quando richiedi un certificato OV o EV, non devi emettere richieste separate per ottenere i token di richiesta DCV per i nuovi domini sull’ordine. Puoi invece ottenere i token direttamente dai dati di risposta per la richiesta ordine.

Esempio di dati risposta:

Example response for an OV order with a new domain

Nota: L’oggetto dcv_token non viene riportato per i domini che saranno convalidati nell’ambito di un altro dominio sull’ordine, per i domini che esistono già nel tuo account o per i sottodomini dei domini esistenti.

Questo aggiornamento si applica ai seguenti endpoint:

new

Selezione della catena di certificati ICA per certificati OV ed EV flessibili pubblici

Siamo lieti di annunciare che i certificati EV ed OV pubblici con capacità flessibili ora supportano la selezione della catena dei certificati CA intermedi.

Puoi aggiungere un’opzione al tuo account CertCentral che ti consente di controllare quale catena dei certificati ICA DigiCert emette i tuoi certificati OV ed EV "flessibili" pubblici.

Questa opzione ti consente di:

  • Impostare la catena dei certificati ICA predefinita per ciascun certificato OV ed EV flessibile pubblico.
  • Controllare quali catene di certificati ICA possono essere usati dai richiedenti del certificato per emettere il loro certificato flessibile.

Configura la selezione della catena dei certificati ICA

Per disabilitare la selezione ICA per il tuo account, contatta il tuo account manager o il nostro team di assistenza. Dopodiché, nel tuo account CertCentral, nella pagina Impostazioni prodotto (nel menu principale a sinistra, vai in Impostazioni > Impostazioni prodotto), configurare l’impostazione predefinita e i certificati intermedi consentiti per ciascun tipo di certificato OV ed EV flessibile.

Per ulteriori informazioni le istruzioni dettagliate, consulta Opzione di catena di certificati ICA per certificati OV ed EV flessibili pubblici.

new

Supporto DigiCert Services API per la selezione della catena di certificati ICA

In DigiCert Services API, abbiamo effettuato i seguenti aggiornamenti per supportare la selezione ICA nelle tue integrazioni API:

  • Creato nuovo endpoint Limiti di prodotto
    Usa questo endpoint per ottenere le informazioni sui limiti e sulle impostazioni per i prodotti abilitati per ciascuna divisione nel tuo account. Ciò include valori ID per le catene dei certificati ICA consentiti e predefiniti di ciascun prodotto.
  • Supporto aggiunto per la selezione ICA nelle richieste di ordine certificato TLS OV ed EV flessibile pubblico
    Dopo aver configurato i certificati intermedi consentiti per un prodotto, puoi selezionare la catena dei certificati ICA che dovrebbe emettere il tuo certificato quando usi l’API per inviare una richiesta di ordine.
    Passa nell’ID del certificato ICA emittente come il valore per il parametro ca_cert_id nel corpo della tua richiesta di ordine

Esempio di richiesta certificato flessibile:

Example flex certificate request

Per ulteriori informazioni sull’uso della selezione ICA nelle tue integrazioni API, consulta Durata del certificato OV/EV – (Opzionale) Selezione ICA.

enhancement

CertCentral: Controlli DCV automatici – Polling DCV

Siamo lieti di annunciare che abbiamo migliorato il processo di convalida del controllo del dominio (DCV) e abbiamo aggiunto le verifiche automatiche per i metodi DNS TXT, DNS CNAME e HTTP con dimostrazione pratica HTTP (FileAuth) DCV.

Ciò significa che, una volta posizionato il file fileauth.txt file sul tuo dominio o aggiunto il valore casuale ai tuoi record DNS TXT o DNS CNAME, non devi preoccuparti di accedere a CertCentral per eseguire la verifica in autonomia. Eseguiremo automaticamente la verifica DCV. Ciò nonostante, puoi ancora eseguire una verifica manuale, quando necessario.

Cadenza del polling DCV

Dopo aver inviato l’ordine di certificato SSL/TLS pubblico, l’invio di un dominio per la preconvalida o la modifica del metodo DCV per un dominio, il polling DCV inizia immediatamente l’esecuzione per una settimana.

  • Intervallo 1 — Ogni minuto per i primi 15 minuti
  • Intervallo 2 — Ogni cinque minuti per un’ora
  • Intervallo 3 — Ogni quindici minuti per quattro ore
  • Intervallo 4 — Ogni ora per un giorno
  • Intervallo 5 — Ogni quattro ore per una settimana*

*Dopo l’Intervallo 5, interrompiamo la verifica. Se non hai posizionato il file fileaut.txt sul tuo dominio o aggiunto il valore casuale ai tuoi record DNS TXT o DNS CNAME entro la fine della prima settimana, dovrai eseguire la verifica in autonomia.

Per ulteriori informazioni sui metodi DCV supportati:

new

Abbiamo aggiunto una nuova opzione di profilo certificato, OCSP Must-Staple, che ti consente di includere l’estensione OCSP Must-Staple nei certificati SSL/TLS OV ed EV. Una volta abilitata per il tuo account, l’opzione Includi l’estensione OCSP Must-Staple nel certificato compare sui tuoi moduli di richiesta certificato SSL/TLS sotto Opzioni certificato aggiuntive.

Nota: I browser che supportano OCSP Must-Staple possono visualizzare un blocco interstiziale agli utenti che accedono al tuo sito. Verifica che il tuo sito sia configurato per servire in modo corretto e solido le risposte OCSP “stapled” prima di installare il certificato.

Per abilitare un profilo certificato per il tuo account, contatta il tuo rappresentante account o il nostro team di assistenza.

Altre opzioni profili certificato disponibili

Se abilitate per il tuo account, queste opzioni di profilo sono visualizzate sui tuoi moduli di richiesta certificato SSL/TLS sotto Opzioni certificato aggiuntive.

  • Intel vPro EKU
    Ti consente di includere il campo Intel vPro EKU nel certificato SSL/TLS OV.
  • KDC/EKU SmartCardLogon
    Ti consente di includere il campo KDC/Utilizzi chiave estesi (EKU) SmartCardLogon nei certificati SSL/TLS OV.
  • Scambio firmato HTTP
    Ti consente di includere l'estensione CanSignHTTPExchanges nel certificato SSL/TLS OV ed EV (consulta Migliora i tuoi URL AMP con lo scambio HTTP firmato).
  • Credenziali delegate
    Ti consente di includere l’estensione DelegationUsage nei certificati SSL/TLS OV ed EV.
new

Abbiamo aggiunto una nuova opzione di profilo certificato, Credenziali delegate, che ti consente di includere l’estensione DelegationUsage nei certificati SSL/TLS OV ed EV. Una volta abilitata per il tuo account, l’opzione Includi l’estensione DelegationUsage nel certificato compare sui tuoi moduli di richiesta certificato SSL/TLS sotto Opzioni certificato aggiuntive.

Per abilitare un profilo certificato per il tuo account, contatta il tuo rappresentante account o il nostro team di assistenza.

Background

L’estensione Credenziali delegate per TLS è sotto lo sviluppo attivo all’interno di Internet Engineering Task Force (IETF). Per supportare l’analisi di interoperabilità, abbiamo aggiunto la possibilità di emettere certificati conformi alla specifica di bozza attuale. Nota: ci potrebbero essere più modifiche alla bozza unitamente allo sviluppo industriale.

Altre opzioni profili certificato disponibili

Se abilitate per il tuo account, queste opzioni di profilo sono visualizzate sui tuoi moduli di richiesta certificato SSL/TLS sotto Opzioni certificato aggiuntive.

  • Intel vPro EKU
    Ti consente di includere il campo Intel vPro EKU in un certificato OV SSL/TLS.
  • KDC/EKU SmartCardLogon
    Ti consente di includere il campo KDC/Utilizzi chiave estesi (EKU) SmartCardLogon in un certificato SSL/TLS OV.
  • Scambio firmato HTTP
    Ti consente di includere l'estensione CanSignHTTPExchanges in un certificato SSL/TLS OV ed EV (consulta Migliora i tuoi URL AMP con lo scambio HTTP firmato).
  • OCSP Must-Staple
    Ti consente di includere l’estensione OCSP Must-Staple nei certificati SSL/TLS OV ed EV.
enhancement

Abbiamo migliorato gli endpoint della richiesta API DigiCert Services che ti consente di ottenere risposte più veloci alle tue richieste di certificato.

enhancement

Abbiamo semplificato la funzione Aggiungi contatti per gli ordini di certificato OV (Standard SSL, Secure Site SSL, ecc.). Ora, quando ordini un certificato OV, popoliamo la scheda Contatto dell'organizzazione per te. Se necessario, puoi aggiungere un contatto tecnico.

  • Quando si aggiunge una CSR che include un’organizzazione esistente nel tuo account, popoliamo la scheda Contatto dell'organizzazione con il contatto assegnato a tale organizzazione.
  • Quando aggiungi manualmente un’organizzazione esistente, popoliamo la scheda Contatto dell'organizzazione con il contatto assegnato a tale organizzazione.
  • Quando aggiungi una nuova organizzazione, popoliamo la scheda Contatto dell'organizzazione con le informazioni sul contatto.

Per usare un contatto organizzazione diverso, elimina quello popolato automaticamente e aggiungine uno manualmente.

enhancement

Abbiamo semplificato la funzione Aggiungi contatti per gli ordini di certificato EV (EV SSL, Secure Site EV SSL, ecc.). Ora, quando ordini un certificato EV, popoleremo le schede Contatto verificato per te se le informazioni contatto verificato EV sono disponibili nel tuo account. Se necessario, puoi aggiungere i contatti organizzazione e tecnico.

  • Quando si aggiunge una CSR che include un’organizzazione esistente nel tuo account, popoliamo la scheda Contatto verificato con i contatti verificati EV assegnati a tale organizzazione.
  • Quando aggiungi manualmente un’organizzazione esistente, popoliamo la scheda Contatto verificato con i contatti verificati EV assegnati a tale organizzazione.

L’assegnazione dei Contatti verificati ad un’organizzazione non è un prerequisito per aggiungere un’organizzazione. Ci potrebbero essere dei casi in cui le informazioni del contatto verificato non saranno disponibili per un’organizzazione. In questo caso, aggiungere manualmente i Contatti verificati.

new

Abbiamo aggiunto una nuova funzione Aggiungi contatto ai modulo di richiesta certificati SSL/TLS OV, consentendoti di aggiungere un singolo contatto tecnico e un singolo contatto organizzazione durante il processo di richiesta.

In precedenza, non potevi aggiungere dei contatti quando ordinavi i certificati SSL/TLS OV (come i certificati Secure Site SSL e Multi-Domain SSL).

Nota: Un contatto tecnico è qualcuno che possiamo contattare qualora ci fossero dei problemi durante l’elaborazione del tuo ordine. Un contatto organizzazione è qualcuno che possiamo contattare quando completiamo la convalida organizzazione per il tuo certificato.

enhancement

Abbiamo migliorato la funzione Aggiungi contatto ai moduli di richiesta certificati SSL/TLS EV, consentendoti di aggiungere un singolo contatto tecnico e un singolo contatto organizzazione durante il processo di richiesta.

In precedenza, potevi solo aggiungere dei contatti verificati (per EV) quando ordinavi i certificati SSL/TLS EV (come Secure Site EV ed EV Multi-Domain SSL).

Nota: Un contatto tecnico è qualcuno che possiamo contattare qualora ci fossero dei problemi durante l’elaborazione del tuo ordine. Un contatto organizzazione è qualcuno che possiamo contattare quando completiamo la convalida organizzazione per il tuo certificato.