OV code signing certificates requirements are changing
Starting on November 15, 2022, at 00:00 UTC, industry standards will require private keys for OV code signing certificates to be stored on hardware certified as FIPS 140 Level 2, Common Criteria EAL 4+, or equivalent. This change strengthens private key protection for code signing certificates and aligns it with EV (Extended Validation) code signing certificate private key protection. See Code Signing Baseline Requirements, current version.
How do these new requirements affect my code signing certificate process?
The new private storage key requirement affects code signing certificates issued from November 15, 2022, and impacts the following parts of your code signing process:
Want to eliminate the need for individual tokens?
Transition to DigiCert® Secure Software Manager to improve your software security with code-signing workflow automation that reduces points of vulnerability with end-to-end company-wide security and control in the code signing process—all without slowing down your process.
Key capabilities:
To learn more about how DigiCert Secure Software Manager has helped other organizations, see our case study Automated Signing Speeds Build Times While Improving the User Experience.
Industry moves to 3072-bit key minimum RSA code signing certificates
Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.
See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,
How do these changes affect my existing 2048-bit key certificates?
All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.
What if I need 2048-bit key code signing certificates?
Take these actions, as needed, before May 27, 2021:
How do these changes affect my code signing certificate process starting May 27, 2021?
Reissues for code signing certificate
Starting May 27, 2021, all reissued code signing certificates will be:
New and renewed code signing certificates
Starting May 27, 2021, all new and renewed code signing certificates will be:
CSRs for code signing certificates
Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.
eTokens for EV code signing certificates
Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.
HSMs for EV code signing certificates
Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.
New ICA and root certificates
Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).
RSA ICA and root certificates:
ECC ICA and root certificates:
No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.
If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).
References
If you have questions or concerns, please contact your account manager or our support team.
DigiCert smette di emettere certificati di firma codice SHA-1
Martedì, 1° dicembre 2020 MST, DigiCert smetterà di emettere certificati di firma codice SHA-1 e SHA-1 EV.
Nota: Tutti i certificati di firma codice SHA-1/EV esistenti rimarranno attivi finché non scadono.
Perché DigiCert sta effettuando queste modifiche?
Per rispettare i nuovi standard industriali, le autorità di certificazione (CA) devono apportare le seguenti modifiche entro il 1° gennaio 2021:
Consulta l’Appendice A nei Requisiti base per l’emissione e la gestione di certificati di firma codice pubblicamente attendibili.
In che modo le modifiche al certificato di firma codice SHA-1 mi interessano?
Se ti affidi ai certificati di firma codice SHA-1, esegui queste operazioni come necessario prima del 1° dicembre 2020:
Per ulteriori informazioni sulle modifiche del 1° dicembre 2020, consulta il nostro articolo di knowledgebase DigiCert interrompe l’emissione di certificati di firma codice SHA-1.
Se hai altre domande, contatta il tuo account manager o il nostro team di assistenza.
DigiCert smetterà di emettere certificati SSL/TLS pubblici di 2 anni
Il 27 agosto 2020, 5:59 MDT (23:59 UTC), DigiCert smetterà di emettere certificati SSL/TLS pubblici di 2 anni per prepararsi per i cambiamenti di settore relativi alla validità massima consentita per i certificati SSL/TLS pubblici.
Dopo la scadenza del 27 agosto, puoi acquistare solamente certificati SSL/TLS pubblici di 1 anno.
Cosa devo fare?
Per garantire che ricevi i certificati SSL/TLS pubblici di 2 anni necessari prima della scadenza del 27 agosto:
Per scoprire come questa modifica interessa gli ordini di certificato in attesa, le riemissioni e i duplicati, consulta Fine dei 2 anni dei certificati pubblici DV, OV ed EV SSL/TLS.
DigiCert Services API
Per chi usa la DigiCert Services API, sarà necessario aggiornare i flussi di lavoro API per tenere conto della nuova validità massima del certificato di 397 giorni per le richieste effettuate dopo la scadenza del 27 agosto. Consulta Services API.
Dopo il 27 agosto 2020
Dopo il 27 agosto, puoi acquistare solamente certificati SSL/TLS pubblici di 1 anno. Tuttavia, per massimizzare la tua copertura SSL/TLS, acquista i nuovi certificati con un piano pluriennale DigiCert®. Consulta Piani pluriennali.
Perché DigiCert sta effettuando questa modifica?
Il 1° settembre 2020, il settore dice addio ai certificati di 2 anni. D’ora in poi le autorità di certificazione (CA) possono emettere solo certificati SSL/TLS DV, OV ed EV pubblici con una validità massima di 398 giorni (circa 13 mesi).
DigiCert implementerà una validità massima di 397 giorni per tutti i certificati SSL/TLS pubblici come protezione per tenere conto delle differenze di fuso orario e per evitare di emettere un certificato SSL/TLS pubblico che superi il nuovo requisito di validità massima di 398 giorni.
Visita il nostro blog per ulteriori informazioni sulla transizione ai certificati SSL/TLS pubblici di 1 anno: Certificati SSL pubblicamente attendibili di un anno: DigiCert è qui per aiutarti.