DigiCert to stop issuing SHA-1 code signing certificates
On Tuesday, December 1, 2020 MST, DigiCert will stop issuing SHA-1 code signing and SHA-1 EV code signing certificates.
Note: All existing SHA-1 code signing/EV code signing certificates will remain active until they expire.
Why is DigiCert making these changes?
To comply with the new industry standards, certificate authorities (CAs) must make the following changes by January 1, 2021:
See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates.
How do the SHA-1 code signing certificate changes affect me?
If you rely on SHA-1 code signing certificates, take these actions as needed before December 1, 2020:
For more information about the December 1, 2020 changes, see our knowledgebase article DigiCert to Stop Issuing SHA-1 Code Signing Certificates.
If you have additional questions, please contact your account manager or our support team.
Microsoft sta sospendendo l’assistenza per le firme digitali del pacchetto driver kernel-mode di terze parti
Il processo per firmare i pacchetti driver kernel-mode è cambiato. A partire dal 2021, Microsoft sarà l’unico provider di firme codice kernel-mode di produzione. D’ora in poi dovrai iniziare a seguire le istruzioni aggiornate di Microsoft per firmare qualsiasi nuovo pacchetto driver kernel-mode. Consulta Centri partner per hardware Windows.
Cosa sta facendo DigiCert?
Come prima fase in questo processo di interruzione, DigiCert ha rimosso l’opzione della piattaforma Microsoft Kernel-Mode Code dai moduli di richiesta certificati di firma codice: nuovo, riemissione e rinnovo.
Ciò significa che andando avanti, non puoi più ordinare, rimettere o rinnovare un certificato di firma codice per la piattaforma kernel-mode.
In che modo ciò interessa il mio certificato di firma codice kernel-mode esistente?
Puoi continuare a usare i tuoi certificati esistenti per firmare i pacchetti driver Kernel-Mode finché il principale con firma incrociata a cui è concatenato non scade. I certificati principali con firma incrociata di marchio DigiCert scadono nel 2021.
Per ulteriori dettagli, consulta il nostro articolo di knowledge, Microsoft interrompe il supporto per i certificati principali con firma incrociata con le capacità di firma kernel-mode.
CertCentral: Gestione delle convalide dominio per tutti i tipi di account
Siamo lieti di annunciare che tutti gli account CertCentral ora sono dotati della gestione convalide dominio per impostazione predefinita. Ora, tutti i tipi di account hanno accesso a queste funzioni di gestione dominio:
Per usare le nuove funzioni di gestione convalida dominio, vai nella pagina Domini (nel menu principale sinistro, vai in Certificati > Domini).
*Per ulteriori informazioni sull’invio di domini per la preconvalida, consulta Preconvalida dominio.
Nota: In precedenza, solo gli account Enterprise e Partner avevano la possibilità di inviare i domini per la preconvalida e gestire le preconvalide dei loro domini (convalida del controllo del dominio).
CertCentral: Le impostazioni dell’ambito di convalida dominio si applicano solo agli ordini TLS
Nella pagina Preferenze divisioni, sotto Convalida del controllo del dominio (DCV), abbiamo aggiornato le impostazioni Ambito di convalida dominio: Invia dominio esatto per la convalida e Invia domini base per la convalida. Queste impostazioni aggiornate ti consentono di definire il comportamento di convalida dominio predefinito quando invii nuovi domini con il processo di ordine certificato TLS: EV, OV e DV. Queste impostazioni non si applicano più al processo di preconvalida dominio.*
*In che modo queste modifiche interessano il processo di preconvalida dominio?
Quando si inviano dei domini per la preconvalida, puoi convalidare un dominio in qualsiasi livello, base o qualsiasi sottodominio di livello inferiore: esempio.com, sub1.esempio.com, sub2.sub1.esempio.com, ecc. Consulta Preconvalida dominio.
Opzione "Reinvia e-mail di creazione certificato" per gli ordini di certificato di firma codice generati dal browser
Abbiamo aggiunto un’opzione Reinvia e-mail di creazione certificato al nostro processo di certificato di firma codice per gli ordini in cui il certificato viene generato in un browser supportato: IE 11, Safari, Firefox 68, e Firefox esportabile.
Ora, quando un ordine di certificato di firma codice ha uno stato Inviato per e-mail al destinatario, puoi inviare l’e-mail di generazione certificato.
Per ulteriori informazioni, consulta Reinvia e-mail "Crea il tuo certificato di firma codice DigiCert".
Abbiamo risolto un bug che impediva la visualizzazione dell’opzione Annulla ordine per gli ordini di certificato firma codice (CS) con uno stato Inviato per e-mail al destinatario. Sui dettagli Ordine, la pagina dell’opzione Annulla ordine mancava dal menu a discesa Azioni certificato.
Nota: Per annullare l’ordine, dovevi contattare il nostro team di assistenza.
Ora, per annullare un ordine di certificato di firma codice (CS) con lo stato Inviato per e-mail al destinatario, vai nella pagina dei dettagli Ordine per il certificato e annulla l’ordine.
Per ulteriori informazioni, annulla un ordine di certificato.
CertCentral: Modifica dettagli organizzazione
Abbiamo aggiunto una nuova funzione al processo di gestione organizzazione in CertCentral—Modifica dettagli organizzazione. Ora, per aggiornare le informazioni organizzazione, vai nella pagina dei dettagli organizzazione per quell’organizzazione e fai clic su Modifica organizzazione.
Quello che devi fare prima di modificare i dettagli di un’organizzazione
La modifica dei dettagli organizzazione per un’organizzazione convalidata nega tutta la convalida esistente per l’organizzazione. Questa operazione non può essere annullata. Ciò significa che DigiCert dovrà convalidare l’organizzazione "aggiornata/nuova" prima che possiamo emettere dei certificati per lei. Prima di iniziare, verifica di comprendere e accettare ciò che accade quando cambi i dettagli dell’organizzazione.
Per ulteriori informazioni, consulta Modifica dettagli organizzazione.
Firefox termina il supporto per la generazione di chiavi
Con il rilascio di Firefox 69, Firefox non supporterà più Keygen. Firefox utilizza Keygen per facilitate facilitare la generazione di materiale per chiavi per l’invio di chiavi pubbliche quando si generano certificati di firma codice, Client e SMIME nel browser.
Nota: Chrome ha già interrotto il supporto per la generazione di chiavi, mentre Edge e Opera non l’hanno mai supportata.
In che modo ti interessa la questione?
Dopo che DigiCert emette i tuoi certificati di firma codice, Client o SMIME, ti invieremo un’e-mail con un link per creare e installare il tuo certificato.
Una volta rilasciato Firefox 69, puoi usare solo due browser per generare questi certificati: Internet Explorer e Safari. Se la policy aziendale richiede l’uso di Firefox, puoi usare Firefox ESR o una copia esportabile di Firefox.
Per ulteriori informazioni, consulta Interruzione del supporto Keygen con Firefox 69.
Consigli pratici
Abbiamo aggiunto un nuovo stato, Inviato per e-mail al destinatario, Alle pagine Ordini e Dettagli ordine, per gli ordini di certificato di firma codice e client, consentendoti di identificare più facilmente dove si trovano questi ordini nel processo di emissione.
Questo nuovo stato indica che DigiCert ha convalidato l’ordine e che il certificato è in attesa che l’utente/destinatario dell’e-mail lo generi in uno dei browser supportati: IE 11, Safari, Firefox 68, e Firefox esportabile.
(Nel menu della barra laterale, fai clic su Certificati > Ordini. Dopodiché, nella pagina Ordini, fai clic sul numero d’ordine per l’ordine di certificato di firma codice o client.)
Abbiamo aggiornato i nostri processi di riemissione certificati Convalida estesa (EV), Firma codice (CS) e Firma documento (DS), consentendoti di riemettere questi certificati senza revocare automaticamente il certificato attuale (certificato originale o precedentemente riemesso).
Nota: Se non ti serve il certificato attuale (certificato originale o precedentemente riemesso), dovrai contattare l’assistenza in modo che possa revocarlo per te.
Ora, la prossima volta che riemetti un certificato EV, CS o DS, puoi mantenere attivo il certificato emesso in precedenza fino al suo periodo di validità attuale (o per tutto il tempo che ti serve).
DigiCert continuerà a supportare la firma SHA1 per i certificati di firma codice. Stiamo eliminando il limite di scadenza max del 30 dicembre 2019.
