今後の変更

new compliance fix enhancement
compliance

End of support for CBC ciphers in TLS connections

DigiCert will end support for Cipher-Block-Chaining (CBC) ciphers in TLS connections to our services on October 8, 2022, at 22:00 MDT (October 9, 2022, at 04:00 UTC).

This change affects browser-dependent services and applications relying on CBC ciphers that interact with these DigiCert services:

  • CertCentral and CertCentral Services API
  • Certificate Issuing Services (CIS)
  • CertCentral Simple Certificate Enrollment Protocol (SCEP)

This change does not affect your DigiCert-brand certificates. Your certificates will continue to work as they always have.

Why is DigiCert ending support for the CBC ciphers?

To align with Payment card industry (PCI) compliance standards, DigiCert must end support for the following CBC:

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA

What do I need to do?

If you are using a modern browser, no action is required. Most browsers support strong ciphers, such as Galois/Counter Mode (GCM) ciphers, including Mozilla Firefox, Google Chrome, Safari, and Microsoft Edge. We do recommend updating your browser to its most current version.

If you have applications or API integrations affected by this change, enable stronger ciphers, such as GCM ciphers, in those applications and update API integrations before October 8, 2022.

If you do not update API integrations and applications, they will not be able to use HTTPS to communicate with CertCentral, the CertCentral Services API, CIS, and SCEP.

Knowledge base article

See our Ending Support for CBC Ciphers in TLS connections to our services for more information.

Contact us

If you have questions or need help, contact your account manager or DigiCert Support.

new

New Dedicated IP addresses for DigiCert Services

On October 10 at 8:00 AM MDT (2:00 PM UTC), DigiCert will assign new dedicated IP addresses to several DigiCert services.

Why is DigiCert adding new IP addresses?

DigiCert is moving to a new service platform. This new platform improves DigiCert's service and platform performances, enabling us to support our customers’ expanding needs.

What do I need to do?

Does your company use allowlists?

  • If not, no action is required. DigiCert services will continue to work as before the addition of the new IP addresses.
  • If yes, you need to update your allowlists to include the new IP addresses by October 10, 2022, to keep your DigiCert services running as before the addition of the new IP addresses.

New dedicated IP Addresses

  • 192.229.211.108
  • 192.229.221.9
  • 152.195.38.76
  • 192.16.49.85

Affected services

  • TLS OCSP
  • TLS CRL
  • PKI Platform 8 CRLs
  • PKI Platform 8 Certificate Authority (CA) certificates
  • PKI client download

For more details about these IP addresses, see our New Dedicated IP Addresses knowledge base article.

If you have questions or need help, contact your account manager or DigiCert Support.

enhancement

CertCentral Services API: Verified contact improvements

Starting October 19, 2022, DigiCert will require organizations on Code Signing (CS) and EV Code Signing (EV CS) certificate orders to have a verified contact.

DigiCert has always required a verified contact from the organization to approve code signing certificate orders before we issue the certificate. Today, DigiCert can add a verified contact to an organization during the validation process. After October 19, verified contacts must be submitted with the organization.

To make the transition easier, when you submit a request to the Order code signing certificate API endpoint, DigiCert will default to adding the authenticated user (the user who owns the API key in the request) as a verified contact for the organization.

DigiCert will apply this default when:

  • The organization in the API request has no verified contacts who can approve CS or EV CS orders.
  • The API request body does not specify a new verified contact to add to the organization.
  • The authenticated user has a job title and phone number.

To avoid a lapse in service, make sure users in your CertCentral account with active API keys have a job title and phone number.

Learn more

compliance

OV code signing certificates requirements are changing

Starting on November 15, 2022, at 00:00 UTC, industry standards will require private keys for OV code signing certificates to be stored on hardware certified as FIPS 140 Level 2, Common Criteria EAL 4+, or equivalent. This change strengthens private key protection for code signing certificates and aligns it with EV (Extended Validation) code signing certificate private key protection. See Code Signing Baseline Requirements, current version

How do these new requirements affect my code signing certificate process? 

The new private storage key requirement affects code signing certificates issued from November 15, 2022, and impacts the following parts of your code signing process: 

  • Private key storage and certificate installation
    Certificate Authorities (CAs) can no longer support browser-based key generation and certificate installation or any other process that includes creating a CSR (Certificate Signing Request) and installing your certificate on a laptop or server. Private keys and certificates must be stored and installed on tokens or HSMs (hardware security modules) certified as at least FIPS 140-2 Level 2 or Common Criteria EAL 4+.
  • Signing code 
    To use a token-based code signing certificate, you need access to the token or HSM and the credentials to use the certificate stored on it.
  • Ordering and renewing certificates 
    When ordering and renewing an OV code signing certificate, you must select the hardware you want to store the private key on: a DigiCert-provided hardware token, your own supported hardware token, or a hardware security module (HSM).
  • Reissuing certificates
    When reissuing code signing certificates, you must install the certificate on a supported hardware token or HSM. If you do not have a token, you can purchase a token from DigiCert at that time. 

Want to eliminate the need for individual tokens? 

Transition to DigiCert® Secure Software Manager to improve your software security with code-signing workflow automation that reduces points of vulnerability with end-to-end company-wide security and control in the code signing process—all without slowing down your process. 

Key capabilities: 

  • HSM key storage—industry compliant 
  • Policy enforcement 
  • Centralized management
  • Integration with CI/CD pipelines 
  • And more 

To learn more about how DigiCert Secure Software Manager has helped other organizations, see our case study Automated Signing Speeds Build Times While Improving the User Experience

new

DIGICERT 2022 MAINTENANCE SCHEDULE

To make it easier to plan your certificate-related tasks, we scheduled our 2022 maintenance windows in advance. See DigiCert 2022 scheduled maintenance—this page is updated with all current maintenance schedule information.

With customers worldwide, we understand there is not a "best time" for everyone. However, after reviewing the data on customer usage, we selected times that would impact the fewest amount of our customers.

About our maintenance schedule

  • Maintenance is scheduled for the first weekend of each month unless otherwise noted.
  • Each maintenance window is scheduled for 2 hours.
  • Although we have redundancies to protect your service, some DigiCert services may be unavailable.
  • All normal operations will resume once maintenance is completed.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.

If you need more information regarding these maintenance windows, contact your account manager or DigiCert support team.

new

DigiCert moving to new G5 root and intermediate CA certificates

On March 8, 2023, at 10:00 MST (17:00 UTC), DigiCert will begin updating the default public issuance of TLS/SSL certificates to new, public, fifth-generation (G5) root and intermediate CA (ICA) certificate hierarchies.

TLS/SSL certificate brands:

  • DigiCert Basic, Secure Site, and Secure Site Pro OV and EV
  • GeoTrust DV, OV, and EV
  • Thawte DV, OV, and EV
  • RapidSSL DV
  • Encryption Everywhere DV

For more information, see our DigiCert G5 Root and Intermediate CA Certificate Update knowledge base article. We recommend you bookmark this page, as we will continue to update this article as new information, ICA certificates, and cross-signed roots become available.


Why is DigiCert moving to new root and intermediate certificates?

The industry now requires Certificate Authorities (CAs) to stop using multipurpose roots and ICA certificates and start using single-purpose certificates instead.

This means:

  • Each new DigiCert single-purpose G5 root chains to a single-purpose ICA certificate.
  • Each new single-purpose G5 ICA certificate only issues a single type of end-entity certificate.

For example, DigiCert has a single-purpose G5 root and ICA certificate for issuing RSA TLS/SSL certificates and another a single-purpose G5 root and ICA certificate for issuing ECC TLS/SSL certificates.

For more information about moving to single-purpose root and ICA certificates, see Mozilla's CA/Prioritization.


How do new root and intermediate CA certificates affect me?

From March 8, 2023, DigiCert will issue new public TLS/SSL certificates from the new G5 root and ICA certificate dedicated hierarchies. At this time, no action is required* unless you do any of the following:

  • Pin root or ICA certificates
  • Hard-code the acceptance of root or ICA certificates
  • Operate a trust store

We recommend updating your environment before March 8, 2023. Stop pinning or hard-coding root or ICA certificate acceptance and distribute DigiCert G5 roots to the local trust stores to ensure TLS/SSL certificates that chain up to the new root certificates are trusted.


How do the new G5 root and ICA certificates affect my existing TLS/SSL certificates?

Rolling out new root and intermediate CA (ICA) certificates does not affect existing TLS/SSL certificates. We don't remove old ICA and root certificates from certificate stores until all the certificates issued from them have expired. Active TLS/SSL certificates issued from a replaced root and ICA certificates remain trusted until they expire.

However, it does affect existing TLS/SSL certificates if you reissue or duplicate them from March 8, 2023. DigiCert will issue all new TLS/SSL certificates from the new G5 root and ICA certificate chains, including reissues and duplicates.


*Installing a cross-signed root certificate

Until our new G5 roots have the same ubiquity as the older DigiCert root certificates, we recommend installing the DigiCert-provided cross-signed root along with the intermediate CA certificate included with each TLS/SSL certificate issued from a G5 root certificate hierarchy.

Installing the cross-signed root certificate ensures your TLS certificate remains trusted even when its G5 root certificate is missing from a needed trust store.

We will add a link to instructions for installing a cross-signed root certificate as soon as they become available.


What if I need more time to update my environment?

If you need more time to prepare, contact DigiCert Support. We will set up your account so you can continue to use the root and ICA certificates you are using now.


Mozilla to distrust four DigiCert roots in 2024

The industry is moving to dedicated hierarchies, so the longer you stay on the old roots and ICA certificates, the less time you will have to move off them when the industry stops trusting them.

In 2024, Mozilla will distrust four DigiCert root certificates**:

  • April 2024
    • Baltimore CyberTrust Root, April 15, 2024
  • November 2024
    • DigiCert Assured ID Root CA, November 10, 2024
    • DigiCert Global Root CA, November 10, 2024
    • DigiCert High Assurance EV Root CA, November 10, 2024

If your certificates are issued from these certificate root hierarchies, you should move to new G5 root dedicated hierarchies before Mozilla distrusts your root certificate.

**TLS/SSL certificates issued before these dates will remain trusted until they expire. However, certificates issued from these dates, including reissues and duplicates, will no longer be trusted.

最近の変更

new compliance fix enhancement
compliance

CertCentral: Revocation reasons for revoking certificates

CertCentral supports including a revocation reason when revoking a certificate. Now, you can choose one of the revocation reasons listed below when revoking all certificates on an order or when revoking an individual certificate by ID or serial number.

Supported revocation reasons:

  • Key compromise* - My certificate's private key was lost, stolen, or otherwise compromised.
  • Cessation of operation - I no longer use or control the domain or email address associated with the certificate or no longer use the certificate.
  • Affiliation change - The name or any other information regarding my organization changed.
  • Superseded - I have requested a new certificate to replace this one.
  • Unspecified - None of the reasons above apply.

*Note: Selecting Key compromise does not block using the associated public key in future certificate requests. To add the public key to the blocklist and revoke all certificates with the same key, visit problemreport.digicert.com and prove possession of the key.

Revoke immediately

We also added the Revoke this certificate immediately option that allows Administrators to skip the Request and Approval process and revoke the certificate immediately. When this option is deselected, the revocation request appears on the Requests page, where an Administrator must review and approve it before it is revoked.

Background

The Mozilla root policy requires Certificate Authorities (CAs) to include a process for specifying a revocation reason when revoking TLS/SSL certificates. The reason appears in the Certificate Revocation List (CRL). The CRL is a list of revoked digital certificates. Only the issuing CA can revoke the certificate and add it to the CRL.

new

Upcoming Scheduled Maintenance

DigiCert will perform scheduled maintenance on September 10, 2022, 22:00 –24:00 MDT (September 11, 2022, 04:00 – 06:00 UTC). Although we have redundancies to protect your services, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • See DigiCert 2022 scheduled maintenance for scheduled maintenance dates and times.

Services will be restored as soon as the maintenance is completed.

enhancement

CertCentral Services API: Revocation reason for TLS/SSL certificates

In the CertCentral Services API, we added the option to choose a revocation reason when you submit a request to revoke a TLS/SSL certificate.

You can choose a revocation reason when revoking all certificates on an order or when revoking an individual certificate by ID or serial number.

To choose a revocation reason, include the optional revocation_reason parameter in the body of your request.

Example JSON request body:

revocation_reason

For information about each revocation reason, visit the API documentation:

enhancement

CertCentral Services API: Added label for verified contacts

In the CertCentral Services API, we added a new contact_type label for verified contacts: verified_contact.

Use the verified_contact label to identify verified contacts for an organization when you submit a request for an EV TLS, Verified Mark, Code Signing, or EV Code Signing certificate. The updated label applies to all verified contacts, regardless of which product type the order is for.

For example, this JSON payload shows how to use the verified_contact label to add a verified contact to an organization in a new certificate order request:

verified_contact.png

Note: Before this change, verified contacts were always identified with the label ev_approver. The CertCentral Services API will continue accepting ev_approver as a valid label for verified contacts on EV TLS, Verified Mark, Code Signing, and EV Code Signing certificate orders. The verified_contact label works the same as the ev_approver label, but the name is updated to apply to all products that require a verified contact.

enhancement

Improved API documentation for adding organizations to Code Signing and EV Code Signing orders

We updated the Order code signing certificate API documentation to describe three ways to add an organization to your Code Signing (CS) or EV Code Signing (EV CS) order requests:

  1. Add an existing organization already validated for CS or EV CS certificate issuance.
  2. Add an existing organization not validated for CS or EV CS and submit the organization for validation with your order.
  3. Create a new organization and submit it for validation with your CS or EV CS order request.

Learn more: Order code signing certificate – CS and EV CS organization validation

new

CertCentral: Edit SANs on pending orders: new, renewals, and reissues

DigiCert is happy to announce that CertCentral allows you to modify the common name and subject alternative names (SANs) on pending orders: new, renewals, and reissues.

Tired of canceling an order and placing it again because a domain has a typo? Now, you can modify the common name/SANs directly from a pending order.

Items to note when modifying SANs

  • Only admins and managers can edit SANs on pending orders.
  • Editing domains does not change the cost of the order.
  • You can only replace a wildcard domain with another wildcard domain and a fully qualified domain name (FQDN) with another FQDN.
  • The total number of domains cannot exceed the number included in the original request.
  • Removed SANs can be added back for free, up to the amount purchased, any time after DigiCert issues your certificate.
  • To reduce the certificate cost, you must cancel the pending order. Then submit a new request without the SANs you no longer want the certificate to secure.

See for yourself

  1. In your CertCentral account, in the left main menu, go to Certificates > Orders.
  2. On the Orders page, select the pending order with the SANs you need to modify.
  3. On the certificate’s Order details page, in the Certificate status section, under What do you need to do, next to Prove control over domains, select the edit icon (pencil).

See Edit common name and SANs on a pending TLS/SSL order: new, renewals, and reissues.


CertCentral Services API: Edit SANs on a pending order and reissue

To allow you to modify SANs on pending new orders, pending renewed orders, and pending reissues in your API integrations, we added a new endpoint to the CertCentral Services API. To learn how to use the new endpoint, visit Edit domains on a pending order or reissue.

enhancement

CertCentral Services API: New response parameters for Domain info and List domains endpoints

To make it easier for API clients to get the exact date and time domain validation reuse periods expire, we added new response parameters to the Domain info and List domains API endpoints:

  • dcv_approval_datetime: Completion date and time (UTC) of the most recent DCV check for the domain.
  • dcv_expiration_datetime: Expiration date and time (UTC) of the most recent DCV check for the domain.

Note: For domain validation expiration dates, use the new dcv_expiration_datetime response parameter instead of relying on the dcv_expiration.ov and dcv_expiration.ev fields. Since October 1, 2021, the domain validation reuse period is the same for both OV and EV TLS/SSL certificate issuance. The new dcv_expiration_datetime response parameter returns the expiration date for both OV and EV domain validation.

Learn more:

new

Upcoming scheduled maintenance

Some DigiCert services will be down for about 15 minutes during scheduled maintenance on August 6, 2022, 22:00 – 24:00 MDT (August 7, 2022, 04:00 – 06:00 UTC).

Infrastructure-related maintenance downtime

The infrastructure-related maintenance starts at 22:00 MDT (04:00 UTC). At that time, the services listed below may be down, or experience delayed responses for approximately 15 minutes.

Affected services:

CertCentral® / Services API

  • Unable to access your CertCentral account.
  • Services API will be unable to process requests.
  • APIs will return a "503 Service is unavailable" error.
  • Resubmit failed requests after services are restored.

CertCentral Automation / API

  • Reschedule automation events around maintenance.
  • If automation events cannot be rescheduled, retry failed events after services are restored.

CertCentral Discovery / API

  • Reschedule Discovery scans around maintenance.
  • If scans cannot be rescheduled, retry failed scans after services are restored.

CertCentral Certificate Issuing Service (CIS) and Simple Certificate Enrollment Protocol (SCEP)

  • Requests submitted during this time will fail.
  • APIs will return a "503 Service is unavailable" error.
  • Failed requests should be resubmitted after services are restored.

Direct Cert Portal / API

  • Unable to access your Direct Cert Portal account.
  • Direct Cert Portal API will be unable to process requests.
  • APIs will return a "503 Service is unavailable" error.
  • Resubmit failed requests after services are restored.

What can I do?
Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance starts and when maintenance ends.
  • For scheduled maintenance dates and times, see DigiCert 2022 scheduled maintenance.

Services will be restored as soon as the maintenance is completed.

new

CertCentral Services API: Archive and restore certificates

To give API clients the option to hide unused certificates from API response data, we released new API endpoints to archive and restore certificates. By default, archived certificates do not appear in response data when you submit a request to the List reissues or List duplicates API endpoints.

New API endpoints

Updated API endpoints

We updated the List reissues and List duplicates endpoints to support a new optional URL query parameter: show_archived. If the value of show_archived is true, the response data includes archived certificates. If false (default), the response omits archived certificates.

new

Upcoming Schedule Maintenance

Some DigiCert services will be down for a total of 20 minutes during scheduled maintenance on July 9, 2022, 22:00 – 24:00 MDT (July 10, 2022, 04:00 – 06:00 UTC).

Infrastructure-related maintenance downtime

The services listed below will be down for a total of 20 minutes while we perform our infrastructure-related maintenance. The downtime consists of two 10-minute windows, one at the start and one at the end of the infrastructure-related work:

  • Start: 22:00 – 22:10 MDT (UTC -6)
  • End: 23:30 – 23:40 MDT (UTC -6)*

*The plan is to end our maintenance at approximately 23:30 MDT (UTC –6). However, if issues occur, we will need to end this work early, which means the second downtime may happen earlier than planned.


Affected services

CertCentral® / Services API

  • Unable to access your CertCentral account.
  • Services API will be unable to process requests.
  • APIs will return a "503 Service is unavailable" error.
  • Resubmit failed requests after services are restored.

CertCentral Automation / API

  • Reschedule automation events around maintenance.
  • If automation events cannot be rescheduled, retry failed events after services are restored.

Discovery / API

  • Reschedule Discovery scans around maintenance.
  • If scans cannot be rescheduled, retry failed scans after services are restored.

Direct Cert Portal / API

  • Unable to access your Direct Cert Portal account
  • Direct Cert Portal API will be unable to process requests.
  • APIs will return a "503 Service is unavailable" error.
  • Resubmit failed requests after services are restored.

QuoVadis® TrustLink® certificate issuance

  • TrustLink certificate requests submitted during this time will be delayed
  • Requests will be queued and processed after services are restored

PKI Platform 8 new domain and organization validation

  • New domains submitted for validation during this time will be delayed.
  • New organizations submitted for validation during this time will be delayed.
  • Requests will be queued and processed after services are restored.


What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2022 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

enhancement

CertCentral: Improved Order details page

DigiCert is happy to announce that we improved the layout and design of the Order details page.

We took your feedback and updated the Orders page to make managing your certificates and orders easier throughout their lifecycle.

When we reorganized the information on the Order details page, we didn’t remove anything. So, everything you did before the updates, you can still do now. However, there are a few things you asked for that you can do now that you couldn’t do before.

Summary of changes:

  • We added new banners, alerts, and icons to help you better understand the actions you need to take on your certificates and orders.
  • We added a Certificate history tab to the Order details page. Now, you can view and interact with all the certificates associated with the order: reissues, duplicates, expired, and revoked.
  • We added the ability to revoke an individual certificate or all the certificates on the order.
  • We also updated the Orders page to add Certificate and Order alert banners, advanced search features, and columns in the orders list.
  • These changes do not affect Guest access. When accessing an order via guest access, you will not see any of the updates.

See the changes for yourself. In your CertCentral account, in the left main menu, go to Certificates > Orders.

Want to provide feedback?

The next time you are in your CertCentral account, locate the “d” icon in the lower right corner of the page (white “d” in a blue circle) and click it. Use the Share Your Feedback feature to let us know your thoughts on the changes. And don’t hesitate to provide feedback about other CertCentral pages and functionality.

enhancement

CertCentral: Improved DNS Certification Authority Authorization (CAA) resource records checking

DigiCert is happy to announce that we improved the CAA resource record checking feature and error messaging for failed checks in CertCentral.

Now, on the order’s details page, if a CAA resource record check fails, we display the check’s status and include improved error messaging to make it easier to troubleshoot problems.

Background

Before issuing an SSL/TLS certificate for your domain, a Certificate Authority (CA) must check the DNS CAA Resource Records (RR) to determine whether they can issue a certificate for your domain. A Certificate Authority can issue a certificate for your domain if one of the following conditions is met:

  • They do not find a CAA RR for your domain.
  • They find a CAA RR for your domain that authorizes them to issue a certificate for the domain.

How can DNS CAA Resource Records help me?

CAA resource records allow domain owners to control which certificate authorities (CAs) are allowed to issue public TLS certificates for each domain.

Learn more about using DNS CAA resource records

enhancement

CertCentral: Bulk domain validation support for DNS TXT and DNS CNAME DCV methods

DigiCert is happy to announce that CertCentral bulk domain validation now supports two more domain control validation (DCV) methods: DNS TXT and DNS CNAME.

Remember, domain validation is only valid for 397 days. To maintain seamless certificate issuance, DigiCert recommends completing DCV before the domain's validation expires.

Don't spend extra time submitting one domain at a time for revalidation. Use our bulk domain revalidation feature to submit 2 to 25 domains at a time for revalidation.

See for yourself

  1. In your CertCentral account, in the left main menu, go to Certificates > Domains.
  2. On the Domains page, select the domains you want to submit for revalidation.
  3. In the Submit domains for revalidation dropdown, select the DCV method you want to use to validate the selected domains.

See Domain prevalidation: Bulk domain revalidation.

enhancement

CertCentral Report Library API enhancements

DigiCert is happy to announce the following enhancements to the CertCentral Report Library API:

Suspend report runs by deleting scheduled reports

We added a new endpoint for deleting scheduled reports. Deleting a scheduled report suspends future report runs. Completed report runs with the same report ID remain available for download after you delete the scheduled report.

Note: Before, you could only edit a report’s schedule, or delete a scheduled report and all completed report runs.

Generate reports with subaccount data only

For the Create report and Edit report endpoints, we added a new option to the list of allowed division_filter_type values: EXCLUDE_ALL_DIVISIONS. Use this value to exclude all parent account data from the report. Reports using this option only include data from the chosen subaccounts (sub_account_filter_type).

Note: Before, you could not generate subaccount reports without including data from one or more divisions in the parent account.

Learn more:

new

Upcoming Scheduled Maintenance

DigiCert will perform scheduled maintenance on June 4, 2022, 22:00 –24:00 MDT (June 5, 2022, 04:00 – 06:00 UTC). Although we have redundancies to protect your services, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • See DigiCert 2022 scheduled maintenance for scheduled maintenance dates and times.

Services will be restored as soon as the maintenance is completed.

enhancement

CertCentral Services API: Improved Order info API response

Update: To give API consumers more time to evaluate the impact of the Order info API response changes on their integrations, we are postponing this update until May 31, 2022. We originally planned to release the changes described below on April 25, 2022.

On May 31, 2022, DigiCert will make the following improvements to the Order info API. These changes remove unused values and update the data structure of the order details object to be more consistent for orders in different states across product types.

For more information and response examples for public TLS, code signing, document signing, and Class 1 S/MIME certificates, see the reference documentation for the Order info endpoint.

If you have questions or need help with these changes, contact your account representative or DigiCert Support.

Need to test your API integration?

To help CertCentral Services API consumers evaluate the impact of these changes, DigiCert is providing a beta server for API consumers to test their integrations prior to the May 31, 2022 release. To learn more, see our knowledge base article: DigiCert CertCentral Services API beta server.


General enhancements

The following changes apply to orders for various certificate types irrespective of order status.

Removed parameters:

  • public_id (string)
    For all orders, the API will stop returning the public_id parameter. DigiCert no longer supports the Express Install workflow that required a public_id value.
  • certificate.ca_cert_id (string)
    For DV certificate orders, the API will stop returning the ca_cert_id parameter. The value of this parameter is an internal ID for the issuing ICA certificate and cannot be used externally. The API already excludes the ca_cert_id parameter from the order details for other product types.

    To get the name and public ID of the issuing ICA certificate associated with the order, use the ca_cert object instead.
  • verified_contacts (array of objects)
    For document signing certificate orders, the API will stop returning the verified_contacts array. The API already excludes the verified_contacts array from the order details for other product types.
  • certificate.dns_names (array of strings)
    If there are no DNS names associated with the order (for example, if the order is for a code signing, document signing, or Class 1 S/MIME certificate), the API will stop returning the dns_names array.

    Before, the API returned a dns_names array with an empty string: [" "]
  • certificate.organization_units (array of strings)
    If there are no organization units associated with the order, the API will stop returning an organization_units array.

    Before, for some product types, the API returned an organization_units array with an empty string: [" "]
  • certificate.cert_validity
    In the cert_validity object, the API will only return a key/value pair for the unit used to set the certificate validity period when the order was created. For example, if the validity period of the certificate is for 1 year, the cert_validity object will return a years parameter with a value of 1.

    Before, the cert_validity object sometimes returned values for both days and years.

Added parameters:

  • order_validity (object)
    For code signing, document signing, and client certificate orders, the API will start returning an order_validity object.

    The order_validity object returns the days, years, or custom_expiration_date for the order validity period. The API already includes an order_validity object in the order details for public SSL/TLS products.
  • payment_profile (object)
    For DV certificate orders, if the order is associated with a saved credit card, the API will start returning a payment_profile object. The API already includes a payment_profile object in the order details for other product types.
  • server_licenses
    For DV certificate orders, the API will start returning the server_licenses parameter. The API already includes the server_licenses parameter in the order details for other product types.

Unapproved order requests

The following changes apply only to certificate order requests that are pending approval or that have been rejected. These changes bring the data structure of the response closer to what the API returns after the request is approved and the order is submitted to DigiCert for validation and issuance.

To manage unapproved and rejected requests, we recommend using the Request endpoints (/request) instead of retrieving the order details. We designed the /request endpoints to manage pending and rejected certificate order requests, and these endpoints remain unchanged.

Note: For quicker certificate issuance, we recommend using a workflow that skips or omits the request approval step for new certificate orders. If your API workflow already skips or omits the approval step, you can safely ignore the changes below. Learn more about removing the approval step:

Added parameters:

  • disable_ct (boolean)
  • allow_duplicates (boolean)
  • cs_provisioning_method (string)

Removed parameters:

  • server_licenses (integer)
    For unapproved order requests, the API will stop returning the server_licenses parameter. The API will continue including the server_licenses parameter in order details for approved order requests.

Improved organization object
To provide a consistent data structure in the order details for unapproved and approved order requests, the API will return a modified organization object on unapproved order requests for some product types.

The API will stop returning the following unexpected properties on unapproved order requests for all product types:

  • organization.status (string)
  • organization.is_hidden (boolean)
  • organization.organization_contact (object)
  • organization.technical_contact (object)
  • organization.contacts (array of objects)

The API will start returning the following expected properties, if existing, on unapproved order requests for all product types:

  • organization.name (string)
  • organization.display_name (string)
  • organization.assumed_name (string)
  • organization.city (string)
  • organization.country (string)

To get organization details not included in the Order info response, use the Organization info API endpoint.

new

CertCentral to issue GeoTrust and RapidSSL DV certificates from new intermediate CA certificates

On May 24, 2022, between 9:00 am and 11:00 am MDT (3:00 pm and 5:00 pm UTC), DigiCert will replace the GeoTrust and RapidSSL intermediate CA (ICA) certificates listed below. We can no longer issue maximum validity (397-day) DV certificates from these intermediates.

Old ICA certificates

  • GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1
  • GeoTrust TLS DV RSA Mixed SHA256 2021 CA-1
  • RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1
  • RapidSSL TLS DV RSA Mixed SHA256 2021 CA-1

New ICA certificates

  • GeoTrust Global TLS RSA4096 SHA256 2022 CA1
  • RapidSSL Global TLS RSA4096 SHA256 2022 CA1

See the DigiCert ICA Update KB article.

How does this affect me?

Rolling out new ICA certificates does not affect your existing DV certificates. Active certificates issued from the replaced ICA certificates will remain trusted until they expire.

However, all new certificates, including certificate reissues, will be issued from the new ICA certificates. To ensure ICA certificate replacements go unnoticed, always include the provided ICA certificate with every TLS certificate you install.

No action is required unless you do any of the following:

  • Pin the old versions of the intermediate CA certificates
  • Hard code the acceptance of the old versions of the intermediate CA certificates
  • Operate a trust store that includes the old versions of the intermediate CA certificates

Action required

If you practice pinning, hard code acceptance, or operate a trust store, update your environment as soon as possible. You should stop pinning and hard coding ICA certificates or make the necessary changes to ensure your GeoTrust DV and RapidSSL DV certificates issued from the new ICA certificates are trusted. In other words, make sure they can chain up to their new ICA certificate and trusted root.

See the DigiCert Trusted Root Authority Certificates page to download copies of the new Intermediate CA certificates.

What if I need more time?

If you need more time to update your environment, you can continue to use the old 2020 ICA certificates until they expire. Contact DigiCert Support, and they can set that up for your account. However, after May 31, 2022, RapidSSL DV and GeoTrust DV certificates issued from the 2020 ICA certificates will be truncated to less than one year.

new

CertCentral: Update organization and technical contacts from the organization's details page

We are happy to announce you can now manage your organization and technical contacts from your organization's details page. This new feature allows you to replace incorrect contacts anytime.

Note: Before, you could only view the existing organization and technical contacts when visiting the organization's details page. The only way to replace an organization or technical contact was when requesting a TLS certificate.

The next time you visit an organization's details page, you can update the organization contact and technical contact for the organization. After editing a contact, you will see the new contact information the next time you order a certificate that includes organization and technical contacts.

Items to note when replacing contacts:

  • Replacing a contact is not retroactive and does not affect existing certificate orders, issued or pending.
  • Replacing the organization contact does not affect the organization validation. However, we will contact the organization directly to verify the new organization contact.

See for yourself

  1. In your CertCentral account, in the left main menu, go to Certificates > Organizations.
  2. On the Organizations page, select the name of the organization.
  3. On the organization's details page, you can now replace the organization contact and add, delete, and replace the technical contact.

Learn more:

new

CertCentral Services API: Update organization and technical contacts

To help you manage the organization and technical contacts for your organizations in your API integrations, we added the following endpoints to the CertCentral Services API:

new

CertCentral: DigiCert KeyGen, our new key generation service

DigiCert is happy to announce our new key generation service—KeyGen. Use KeyGen to generate and install your client and code signing certificates from your browser. KeyGen can be used on macOS and Windows and is supported by all major browsers.

With KeyGen, you don't need to generate a CSR to order your client and code signing certificates. Place your order without a CSR. Then after we process the order and your certificate is ready, DigiCert sends a "Generate your Certificate" email with instructions on using KeyGen to get your certificate.

How does KeyGen work?

KeyGen generates a keypair and then uses the public key to create a certificate signing request (CSR). KeyGen sends the CSR to DigiCert, and DigiCert sends the certificate back to KeyGen. Then KeyGen downloads a PKCS12 (.p12) file to your desktop that contains the certificate and the private key. The password you create during the certificate generation process protects the PKCS12 file. When you use the password to open the certificate file, the certificate gets installed in your personal certificate store.

To learn more about generating client and code signing certificates from your browser, see the following instructions:

fix

CertCentral Services API: Fixed data type for empty user value in Order info API response

We fixed an issue where the Order info API (GET https://www.digicert.com/services/v2/order/certificate/{{order_id}}) returned the wrong data type for the user field when no user is associated with the order. Now, for orders without user data, the Order info endpoint returns an empty user object ("user": {}) instead of returning an empty array ("user": []).

new

Upcoming Schedule Maintenance

Update: There is no planned downtime during maintenance on May 7, MDT (May 8, UTC).

DigiCert will perform scheduled maintenance on May 7, 2022, between 22:00 – 24:00 MDT (May 8, 2022, between 04:00 – 06:00 UTC). Although we have redundancies to protect your services, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • See the DigiCert 2022 maintenance schedule for maintenance dates and times.

Services will be restored as soon as we complete the maintenance.

enhancement

CertCentral: Multi-year Plans are now available for Verified Mark Certificates

We are happy to announce that Multi-year Plans are now available for Verified Mark Certificates (VMCs) in CertCentral and CertCentral Services API.

DigiCert® Multi-year Plans allow you to pay a single discounted price for up to six years of Verified Mark Certificate coverage. With a Multi-year Plan, you pick the duration of coverage you want (up to six years). Until the plan expires, you reissue your certificate at no cost each time it reaches the end of its validity period.

Note: Depending on the length of your plan, you may need to revalidate your domain and organization multiple times during your Multi-year Plan.

Multi-year Plans for VMC in the Services API

In the Services API, when you submit an order request for a VMC, use the order_validity object to set the duration of coverage for your Multi-year Plan (1-6 years). For more information, see:

What is a Verified Mark Certificate?

Verified Mark Certificates (VMCs) are a new type of certificate that allows companies to place a certified brand logo next to the “sender” field in customer inboxes.

  • Your logo is visible before the message is opened.
  • Your logo acts as confirmation of your domain’s DMARC status and your organization’s authenticated identity.

Learn more about VMC certificates

new

CertCentral Services API: Domain locking API endpoints

DigiCert is happy to announce our domain locking feature is now available in the CertCentral Services API.

Note: Before you can use the domain locking endpoints, you must first enable domain locking for your CertCentral account. See Domain locking  – Enable domain locking for your account.

New API endpoints

Updated API endpoints

We updated the response for the Domain info and List domains endpoints to include the following parameters with domain lock details:

  • domain_locking_status (string)
    Domain lock status. Only returned if domain locking is enabled for the account.
  • account_token (string)
    Domain lock account token. Only returned if domain locking is enabled for the account, and if domain locking has been activated for the domain at least once.

To learn more, see:

new

CertCentral: Domain locking is now available

DigiCert is happy to announce our domain locking feature is now available.

Does your company have more than one CertCentral account? Do you need to control which of your accounts can order certificates for specific company domains?

Domain locking allows you to control which of your CertCentral accounts can order certificates for your domains.

How does domain locking work?

DNS Certification Authority Authorization (CAA) resource records allow you to control which certificate authorities can issue certificates for your domains.

With domain locking, you can use this same CAA resource record to control which of your company's CertCentral accounts can order certificates for your domains.

How do I lock a domain?

To lock a domain:

  1. Enable domain locking for your account.
  2. Set up domain locking for a domain.
  3. Add the domain's unique verification token to the domain's DNS CAA resource record.
  4. Check the CAA record for the unique verification token.

To learn more, see:

new

End of life for account upgrades from Symantec, GeoTrust, Thawte or RapidSSL to CertCentral™

From April 5, 2022, MDT, you can no longer upgrade your Symantec, GeoTrust, Thawte, or RapidSSL account to CertCentral™.

If you haven't already moved to DigiCert CertCentral, upgrade now to maintain website security and have continued access to your certificates.

Note: During 2020, DigiCert discontinued all Symantec, GeoTrust, Thawte, RapidSSL admin consoles, enrollment services, and API services.

How do I upgrade my account?

To upgrade your account, contact DigiCert Support immediately. For more information about the account upgrade process, see Upgrade from Symantec, GeoTrust, Thawte, or RapidSSL.

What happens if I don't upgrade my account to CertCentral?

After April 5, 2022, you must get a new CertCentral account and manually add all account information, such as domains and organizations. In addition, you won't be able to migrate any of your active certificates to your new account.

For help setting up your new CertCentral account after April 5, 2022, contact DigiCert Support.

new

Upcoming Schedule Maintenance

DigiCert will perform scheduled maintenance on April 2, 2022, between 22:00 – 24:00 MDT (April 3, 2022, between 04:00 – 06:00 UTC). During this time, some services may be down for up to two hours.

Note: Maintenance will be one hour earlier for those who don't observe daylight savings.

Infrastructure-related maintenance downtime

We will start this infrastructure-related maintenance at 22:00 MDT (04:00 UTC). Then the services listed below may be down for up to two hours.

CertCentral® TLS certificate issuance:

  • TLS certificate requests submitted during this time will fail
  • Failed requests should be resubmitted after services are restored

CIS and CertCentral® SCEP:

  • Certificate Issuing Service (CIS) will be down
  • CertCentral Simple Certificate Enrollment Protocol (SCEP) will be down
  • Requests submitted during this time will fail
  • CIS APIs will return a "503 Service is unavailable" error
  • Failed requests should be resubmitted after services are restored

Direct Cert Portal new domain and organization validation:

  • New domains submitted for validation during this time will fail
  • New organizations submitted for validation during this time will fail
  • Failed requests should be resubmitted after services are restored

QuoVadis® TrustLink® certificate issuance:

  • TrustLink certificate requests submitted during this time will be delayed
  • Requests will be added to a queue for processing later
  • Queued-up requests will be processed after services are restored

PKI Platform 8 new domain and organization validation:

  • New domains submitted for validation during this time will fail
  • New organizations submitted for validation during this time will fail
  • Requests will be added to a queue for processing later
  • Queued-up requests will be processed after services are restored
  • Access to User Authorization Agent (UAA) services will be disabled: both the UAA Admin and User web portals

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2022 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

compliance

Starting March 28, 2022, all public S/MIME certificates will have a maximum validity period of 1,185 days. This change is to align with Apple policy updates and only applies to publicly trusted S/MIME certificates newly issued from CertCentral. Certificates issued before March 28 are not affected.

new

End of life for SSL Tools

From March 24, 2022, when you visit SSL Tools, you will see a pop-up message that lets you know SSL Tools is no longer available. We encourage you to use the DigiCert® SSL Installation Diagnostics Tool.

Note: If you visit other SSL Tools features/pages, we will guide you to other site pages on digicert.com that offer identical or similar services.

What is the DigiCert® SSL Installation Diagnostics Tool?

The SSL Installation Diagnostic Tool is a free, publicly available tool that checks:

  • Certificate installations
  • Web server configurations

What do I need to do?

Start using the DigiCert® SSL Installation Diagnostics Tool.

You will want to do the following too:

  • In your browser, replace SSL Tools bookmarks with DigiCert® SSL Installation Diagnostics Tool.
  • If you have links to SSL Tools on your website, replace them with links to the SSL Installation Diagnostics Tool.
new

DigiCert site seal now available for Basic OV and EV certificate orders

DigiCert Basic OV and EV certificate orders include the DigiCert site seal. Now, you can install the DigiCert site seal on the same site your Basic SSL certificate protects. Site seals provide your customers with the assurance your website is secured by DigiCert—one of the most recognized names in TLS/SSL security.

When you click the site seal, you see additional details about the domain, the organization, the TLS/SSL certificate, and the validation.

Learn how to configure and install your DigiCert site seal

DigiCert Smart Seal

DigiCert also offers a more innovative type of site seal—the DigiCert Smart Seal. This advanced seal is more interactive and engaging than the DigiCert site seal. We added a hover-over effect, animation, and the ability to display your company logo in the hover-over effect and animation feature.

Learn more about the DigiCert Smart Seal

new

CertCentral: DNS CNAME DCV method now available for DV certificate orders

In CertCentral and the CertCentral Services API, you can now use the DNS CNAME domain control validation (DCV) method to validate the domains on your DV certificate order.

Note: Before, you could only use the DNS CNAME DCV method to validate the domains on OV and EV certificate orders and when prevalidating domains.

To use the DNS CNAME DCV method on your DV certificate order:

  • In CertCentral:
    • When ordering a DV TLS certificate, you can select DNS CNAME as the DCV method.
    • On the DV TLS certificate's order details page, you can change the DCV method to DNS CNAME Record.
  • In the Services API:
    • When requesting a DV TLS certificate, set the value of the dcv_method request parameter to dns‑cname‑token.

Note: The AuthKey process for generating request tokens for immediate DV certificate issuance does not support the DNS CNAME DCV method. However, you can use the File Auth (http‑token) and DNS TXT (dns‑txt‑token) DCV methods. To learn more, visit DV certificate immediate issuance.

To learn more about using the DNS CNAME DCV method:

enhancement

CertCentral Services API: Improved List domains endpoint response

To make it easier to find information about the domain control validation (DCV) status for domains in your CertCentral account, we added these response parameters to domain objects in the List domains API response:

  • dcv_approval_datetime: Completion date and time of the most recent DCV check for the domain.
  • last_submitted_datetime: Date and time the domain was last submitted for validation.

For more information, see the reference documentation for the List domains endpoint.

new

Upcoming Schedule Maintenance

DigiCert will perform scheduled maintenance on March 5, 2022, between 22:00 – 24:00 MST (March 6, 2022, between 05:00 – 07:00 UTC). During this time, some services may be down for up to two hours.

Infrastructure-related maintenance downtime

We will start this infrastructure-related maintenance at 22:00 MST (05:00 UTC). Then the services listed below may be down for up to two hours.

CertCentral™ TLS certificate issuance:

  • TLS certificate requests submitted during this time will fail
  • Failed requests should be resubmitted after services are restored

CIS and CertCentral™ SCEP:

  • Certificate Issuing Service (CIS) will be down
  • CertCentral Simple Certificate Enrollment Protocol (SCEP) will be down
  • Requests submitted during this time will fail
  • CIS APIs will return a "503 Service is unavailable" error
  • Failed requests should be resubmitted after services are restored

Direct Cert Portal new domain and organization validation:

  • New domains submitted for validation during this time will fail
  • New organizations submitted for validation during this time will fail
  • Failed requests should be resubmitted after services are restored

QuoVadis™ TrustLink™ certificate issuance:

  • TrustLink certificate requests submitted during this time will be delayed
  • Requests will be added to a queue for processing later
  • Queued-up requests will be processed after services are restored

PKI Platform 8 new domain and organization validation:

  • New domains submitted for validation during this time will fail
  • New organizations submitted for validation during this time will fail
  • Requests will be added to a queue for processing later
  • Queued-up requests will be processed after services are restored

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2022 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

fix

CertCentral: Improved verified contact EV TLS certificate request approval process

In CertCentral and the CertCentral Services API, we updated the EV TLS certificate request process to only send the EV TLS request approval emails to the verified contacts you include on the certificate request.

Note: Before, when you requested an EV TLS certificate, we sent the EV order approval email to all the verified contacts for the organization.

Add verified contacts to an EV TLS certificate request:

  • CertCentral
    When requesting an EV TLS certificate, you can:
    • Keep the existing verified contacts assigned to the organization
    • Remove contacts (at least one is required)
    • Add new contacts (we must validate each new contact, which may delay certificate issuance).
  • Services API
    When requesting an EV TLS certificate, include the verified contacts in the organization.contacts array of the JSON request. For verified contacts, the value of the contact_type field is ev_approver.

To learn more about EV TLS certificate requests:

enhancement

CertCentral Services API: Domain info enhancement

We updated the Domain info API response to include the expiration_date parameter for the DCV token associated with the domain. Now, when you call the Domain info API and set the value of the include_dcv query parameter to true, the dcv_token object in the response includes the expiration_date of the DCV token for the domain.

new

Account Security Feature: Approved User Email Domains

CertCentral Administrators can now specify what email domains users can create a CertCentral account for. This helps prevent emails from being sent to non-approved, generic email domains (@gmail.com, @yahoo.com), or domains owned by third parties. If a user attempts to set or change a user email address to a non-approved domain, they receive an error.

Find this setting in Settings > Preferences. Expand Advanced Settings, and look for the Approved email domains section.

Note: This does not affect existing users with non-approved email addresses. It only impacts new users and email changes made after configuring this setting.

new

Verified Mark Certificates (VMC): Three new approved trademark offices

We are happy to announce that DigiCert now recognizes three more intellectual property offices for verifying the logo for your VMC certificate. These new offices are in Korea, Brazil, and India.

New approved trademark offices:

Other approved trademark offices:

What is a Verified Mark Certificate?

Verified Mark Certificates (VMCs) are a new type of certificate that allows companies to place a certified brand logo next to the “sender” field in customer inboxes.

  • Your logo is visible before the message is opened.
  • Your logo acts as confirmation of your domain’s DMARC status and your organization’s authenticated identity. 

Learn more about VMC certificates.

fix

Bugfix: Code Signing (CS) certificate generation email sent only to CS verified contact

We fixed a bug in the Code Signing (CS) certificate issuance process where we were sending the certificate generation email to only the CS verified contact. This bug only happened when the requestor did not include a CSR with the code signing certificate request.

Now, for orders submitted without a CSR, we send the code signing certificate generation email to:

  • Certificate requestor
  • CS verified contact
  • Additional emails included with the order

Note: DigiCert recommends submitting a CSR with your Code Signing certificate request. Currently, Internet Explorer is the only browser that supports keypair generation. See our knowledgebase article: Keygen support dropped with Firefox 69.

new

Updates to OV and EV TLS certificate profiles

As we work to align our DV, OV, and EV TLS certificate profiles, we are making a minor change to our OV and EV TLS certificate profiles. Starting January 25, 2022, we will set the Basic Constraints extension to noncritical in our OV and EV TLS certificate profiles.

Note: DV TLS certificates are already issued with the Basic Constraints extension set to noncritical.

What do I need to do?

No action is required on your part. You shouldn't notice any difference in your certificate issuance process.

However, if your TLS certificate process requires the Basic Constraints extension to bet set to critical, contact your account manager or DigiCert Support immediately.

enhancement

Improved Domains page, Validation status filter—Completed / Validated

On the Domains page, in the Validation status dropdown, we updated the Completed / Validated filter to make it easier to find domains with completed and active domain control validation (DCV).

Note: Before, when you searched for domains with Completed / Validated DCV, we returned all domains with completed DCV even if the domain validation had expired.

Now, when you search for domains with Completed / Validated DCV, we only return domains with completed and active DCV in your search results. To find domains with expired DCV, use the Expired filter in the Validation status dropdown.

Find domains with completed and active DCV

  1. In CertCentral, in the left main menu, go to Certificates > Domains.
  2. On the Domains page, in the Validation status dropdown, select Completed / Validated.
enhancement

CertCentral Services API: List domains enhancement

For the List domains API, we updated the filters[validation]=completed filter to make it easier to find domains validated for OV or EV certificate issuance.

Before, this filter returned all domains with completed DCV checks, even if the domain validation had expired. Now, the filter only returns domains with an active OV or EV domain validation status

enhancement

CertCentral Domains and Domain details pages: Improved domain validation tracking

We updated the Domains and Domain details pages to make it easier to track and keep your domains' validation up to date. These updates coincide with last year's industry changes to the domain validation reuse period*. Keeping your domain validation current reduces certificate issuance times: new, reissue, duplicate issues, and renewals.

*Note: On October 1, 2021, the industry reduced all domain validation reuse periods to 398 days. DigiCert implemented a 397-day domain validation reuse period to ensure certificates aren't issued using expired domain validation. For more information about this change, see our knowledge base article, Domain validation policy changes in 2021.

Domains page improvements

When you visit the Domains page (in the left main menu, select Certificates > Domains), you will see three new columns: DCV method, Validation status, and Validation expiration. Now you can view the domain control validation (DCV) method used to demonstrate control over the domain, the status of the domain's validation (pending, validated, expires soon, and expired), and when the domain validation will expire.

Because OV and EV validation reuse periods are the same, we streamlined the Validation status sorting feature. Instead of showing separate filters for OV validation and EV validation, we only show one set of filters:

  • Completed / Validated
  • Pending validation
  • Expires in 0 - 7 days
  • Expires in 0 - 30 days
  • Expires in 31 - 60 days
  • Expires in 61 - 90 days
  • Expired

Domain details page improvements

When you visit a domain's details page (on the Domains page, select a domain), you will now see a status bar at the top of the page. This status bar lets you view the domain's validation status, when the domain's validation expires, when the domain's validation was most recently completed, and the DCV method used to demonstrate control over the domain.

We also updated the Domain validation status section of the page. We replaced the separate entries for OV and EV domain validation statuses with one entry: domain validation status.

new

Upcoming Scheduled Maintenance

DigiCert will perform scheduled maintenance on January 8, 2022, between 22:00 – 24:00 MST (January 9, 2022, between 05:00 – 07:00 UTC). Although we have redundancies to protect your service, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • If you use the APIs for immediate certificate issuance and automated tasks, expect interruptions.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2022 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

1月 5, 2022

fix

CertCentral Services API: List orders bugfix

On January 5, 2022, we will fix a bug in the List orders (GET https://www.digicert.com/services/v2/order/certificate) API where, when no organization is present for an order, the order details object returns the organization parameter as an empty array ("organization": []) instead of omitting the parameter from the response. After the fix, if no organization is present for an order, the organization parameter will not appear in the order details object.

new

証明書関連のタスクについてプランが立てやすくなるように、以下に 2021年メンテナンススケジュールを紹介します。 「デジサート 2021 予約済メンテナンス」を参照してください —このページは、すべてのメンテナンススケジュール情報が記載され、常に最新に更新されています。

世界各地の顧客について、当社は全員それぞれに最適な時期があることは理解しています。ただ、顧客の利用状況に関するデータの審査後、当社は、影響が及ぶ顧客の数がもっとも少ない時期を選択しています。

当社のメンテナンススケジュールについて

  • メンテナンスは、特記事項がないかぎり、各月の第一週末に予約されています。
  • 各メンテナンスウインドウは2時間ごとにスケジュールが更新されます。
  • お客様のサービスを保護するため、冗長的な部分がありますが、デジサートサービスが一部利用できないものがあります。
  • 通常業務は、メンテナンス完了後に再開されます。

これらのメンテナンスウインドウに関する詳細は、アカウントマネージャまたはデジサート サポートチーム. までお問い合わせください。リアルタイム更新を利用するには、デジサート ステータス ページに利用登録してください。

new

Upcoming Scheduled Maintenance

DigiCert will perform scheduled maintenance on December 4, 2021, between 22:00 – 24:00 MST (December 5, 2021, between 05:00 – 07:00 UTC). Although we have redundancies to protect your service, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

compliance

Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)

To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.

To learn more about the industry change, see Domain validation policy changes in 2021.

How does this affect me?

As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:

  • Validate wildcard domains (*.example.com)
  • To include subdomains in the domain validation when validating the higher-level domain. For example, if you want to cover www.example.com, when you validate the higher-level domain, example.com.
  • Prevalidate entire domains and subdomains.

To learn more about the supported DCV method for DV, OV, and EV certificate requests:

compliance

CertCentral: Pending certificate requests and domain prevalidation using file-based DCV

Pending certificate request

If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.

*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.

To learn more about the supported DCV methods for DV, OV, and EV certificate requests:

Domain prevalidation

If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.

To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.

compliance

CertCentral Services API

If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).

new

Upcoming Schedule Maintenance

DigiCert will perform scheduled maintenance on November 6, 2021, between 22:00 – 24:00 MDT (November 7, 2021, between 04:00 – 06:00 UTC).


CertCentral infrastructure-related maintenance downtime

We will start this infrastructure-related maintenance between 22:00 and 22:10 MDT (04:00 and 04:10 UTC). Then, for approximately 30 minutes, the following services will be down:

DV certificate issuance for CertCentral, ACME, and ACME agent automation

  • DV certificate requests submitted during this time will fail
  • APIs will return a "cannot connect" error
  • Failed requests should be resubmitted after services are restored

CIS and SCEP

  • Certificate Issuing Service (CIS) will be down
  • Simple Certificate Enrollment Protocol (SCEP) will be down
  • DigiCert will be unable to issue certificates for CIS and SCEP
  • APIs will return a "cannot connect" error
  • Requests that return "cannot connect" errors should be resubmitted after services are restore

QuoVadis TrustLink certificate issuance

  • TrustLink certificate requests submitted during this time will fail
  • However, failed requests will be added to a queue for processing later
  • Queued-up requests will be processed after services are restored, as required

This maintenance only affects DV certificate issuance, CIS, SCEP, and TrustLink certificate issuance. It does not affect any other DigiCert platforms or services .


PKI Platform 8 maintenance

We will start the PKI Platform 8 maintenance at 22:00 MDT (04:00 UTC). Then, for approximately 30 minutes, the PKI Platform 8 will experience service delays and performance degradation that affect:

  • Signing in and using your PKI Platform 8 to perform in-console certificate lifecycle tasks.
  • Using any of your PKI Platform 8 corresponding APIs or protocols (for example, SOAP, REST, SCEP, and EST) to perform certificate lifecycle operations.
  • Performing certificate lifecycle tasks/operations:
    • Enrolling certificates: new, renew, or reissues
    • Adding domains and organizations
    • Submitting validation requests
    • Viewing reports, revoking certificates, and creating profiles
    • Adding users, viewing certificates, and downloading certificates
  • Certificate issuance for PKI Platform 8 and its corresponding API.

Additionally:

  • APIs will return a "cannot connect" error.
  • Certificate enrollments that receive "cannot connect" errors must be resubmitted after DigiCert restores services.

The PKI Platform 8 maintenance only affects PKI Platform 8. It does not affect any other DigiCert platforms or services.


Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

new

Upcoming Schedule Maintenance

On October 2, 2021, between 22:00 – 24:00 MDT (October 3, 2021, between 04:00 – 06:00 UTC), DigiCert will perform scheduled maintenance.


CertCentral, CIS, SCEP, Direct Cert Portal, and DigiCert ONE maintenance

DigiCert will perform scheduled maintenance. Although we have redundancies to protect your service, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.


PKI Platform 8 maintenance and downtime:

DigiCert will perform scheduled maintenance on PKI Platform 8. During this time, the PKI Platform 8 and its corresponding APIs will be down for approximately 20 minutes.

We will start the PKI Platform 8 maintenance at 22:00 MDT (04:00 UTC).

Then, for approximately 20 minutes:

  • You will be unable to sign in and use your PKI Platform 8 to perform in-console certificate lifecycle tasks.
  • You will be unable to use any of your PKI Platform 8 corresponding APIs or protocols (for example, SOAP, REST, SCEP, and EST) to perform certificate lifecycle operations.
  • You will be unable to:
    • Enroll certificates: new, renew, or reissues
    • Add domains and organizations
    • Submit validation requests
    • View reports, revoke certificates, and create profiles
    • Add users, view certificates, and download certificates
  • DigiCert will be unable to issue certificates for PKI Platform 8 and its corresponding API.
  • APIs will return a "cannot connect" error.
  • Certificate enrollments that receive "cannot connect" errors must be resubmitted after DigiCert restores services.

The PKI Platform 8 maintenance only affects PKI Platform 8. It does not affect any other DigiCert platforms or services.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

new

Upcoming Schedule Maintenance

On September 11, 2021, between 22:00 – 24:00 MDT (September 12, 2021, between 04:00 – 06:00 UTC), DigiCert will perform scheduled maintenance.


CertCentral, CIS, SCEP, Direct Cert Portal, and DigiCert ONE maintenance

DigiCert will perform scheduled maintenance. Although we have redundancies to protect your service, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.


PKI Platform 8 maintenance and downtime:

DigiCert will perform scheduled maintenance on PKI Platform 8. During this time, the PKI Platform 8 and its corresponding APIs will be down for approximately 60 minutes.

We will start the PKI Platform 8 maintenance at 22:00 MDT (04:00 UTC).

Then, for approximately 60 minutes:

  • You will be unable to sign in and use your PKI Platform 8 to perform in-console certificate lifecycle tasks.
  • You will be unable to use any of your PKI Platform 8 corresponding APIs or protocols (for example, SOAP, REST, SCEP, and EST) to perform certificate lifecycle operations.
  • You will be unable to:
    • Enroll certificates: new, renew, or reissues
    • Add domains and organizations
    • Submit validation requests
    • View reports, revoke certificates, and create profiles
    • Add users, view certificates, and download certificates
  • DigiCert will be unable to issue certificates for PKI Platform 8 and its corresponding API.
  • APIs will return a "cannot connect" error.
  • Certificate enrollments that receive "cannot connect" errors must be resubmitted after DigiCert restores services.

The PKI Platform 8 maintenance only affects PKI Platform 8. It does not affect any other DigiCert platforms or services.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete our maintenance.

enhancement

CertCentral Services API: Domain management enhancements

To make it easier to maintain active validation for domains in your account, we added new filters, response fields, and a new endpoint to our domain management APIs. With these updates, you can:

  • Find domains with OV and EV validation reuse periods that are expired or expiring soon.
  • Find domains affected by the September 27, 2021 policy change to shorten OV domain validation reuse periods.*

Enhanced APIs: List domains and List subaccount domains

We made the following enhancements to the List domains and List subaccount domains endpoints:

  • Added validation filter values
    On September 27, 2021*, existing OV domain validation reuse periods will shorten to 397 days from the date validation was completed. For some domains, the reduced validation period will have already expired, or will expire before the end of 2021.

    To help you find these domains so you can resubmit them for validation, we added a new value for the validation filter: shortened_by_industry_changes. We also added filter values to help you find domains with OV or EV domain validation periods that expire in different timeframes. The new validation filter values include:
    • shortened_by_industry_changes
    • ov_expired_in_last_7_days
    • ov_expiring_within_7_days
    • ov_expiring_within_30_days
    • ov_expiring_from_31_to_60_days
    • ov_expiring_from_61_to_90_days
    • ev_expired_in_last_7_days
    • ev_expiring_within_7_days
    • ev_expiring_within_30_days
    • ev_expiring_from_31_to_60_days
    • ev_expiring_from_61_to_90_days
  • Added fields to the dcv_expiration object
    You can now submit a request that returns the following fields in the dcv_expiration object: ov_shortened, ov_status, ev_status, and dcv_approval_date. These fields only return if your request includes the newly added query string filters[include_validation_reuse_status]=true.
  • Added dcv_method filter
    We added the option to filter domains by domain control validation (DCV) method. To use this filter, append the query string filters[dcv_method]={{value}} to the request URL. Possible values are email, dns-cname-token, dns-txt-token, http-token, and http-token-static.

Enhanced API: Domain info
You can now submit a request to the Domain info endpoint that returns the following fields in the dcv_expiration object: ov_shortened, ov_status, ev_status, and dcv_approval_date. These fields only return if your request includes the newly added query string include_validation_reuse_status=true.


New API: Expiring domains count

We added a new endpoint that returns the number of domains in your account with expired or expiring OV or EV domain validations. For more information, see Expiring domains count.

*On September 27, 2021, the expiration date for existing OV domain validations will shorten to 397 days from the date validation was completed. Learn more about this policy change: Domain validation changes in 2021.

new

CertCentral Services API: Get orders by alternative order ID

We created a new endpoint to make it easier to get certificate order details using alternative order IDs: Get orders by alternative order ID. This endpoint returns the order ID, certificate ID, and order status of certificate orders with the alternative_order_id you provide in the URL path.

fix

We fixed a bug that changes the reissue workflow for DV certificates. After August 24, 2021, when you reissue a DV certificate and change or remove SANs, the original certificate and any previously reissued or duplicate certificates are revoked after a 72-hour delay.

fix

We updated the behavior for products that can use wildcard domain names and fully qualified domain names (FQDNs) in a certificate. After August 23, 2021 certificates including the wildcard domain name will only secure the FQDN and all of its same-level domain names without charge.

Subject Alternative Names (SANs) that are not at the same level as the wildcard domain name will be considered additional to the wildcard coverage. For example, a wildcard certificate for *.digicert.com will only allow FQDNs like one.digicert.com, two.digicert.com, and three.digicert.com to be included as SANs in the certificate without charge.

new

Upcoming Schedule Maintenance

On August 7, 2021, between 22:00 – 24:00 MDT (August 8, 2021, between 04:00 – 06:00 UTC), DigiCert will perform scheduled maintenance. Although we have redundancies to protect your service, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance starts and when maintenance ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

new

Verified Mark Certificates available now.

Verified Mark Certificates (VMCs) are a new type of certificate that allow companies to place a certified brand logo next to the “sender” field in customer inboxes—visible before the message is opened—acting as confirmation of your domain’s DMARC status and your organization’s authenticated identity. Learn more about VMC certificates.

To disable or change availability of VMC in your account, visit the Product Settings page.

Note: If you do not see VMCs in your account, it may be because we are not offering the product to all account types yet. It is also possible that the product is available, but one of your CertCentral account’s administrators turned the product off in Product Settings.

new

CertCentral Services API: Verified Mark Certificate enhancements

To help you manage your Verified Mark Certificate (VMC) orders in your API integrations, we’ve made the following updates to the CertCentral Services API.

New endpoints:

Updated endpoints:

  • Order info
    We updated the Order info endpoint to return a vmc object with the trademark country code, registration number, and logo information for VMC orders.
  • Email certificate
    We updated the Email certificate endpoint to support emailing a copy of your issued VMC.

To learn more about managing VMC certificates from your API integrations, visit Verified Mark Certificate workflow.

new

Upcoming schedule maintenance

On July 10, 2021, between 22:00 – 24:00 MDT (July 11, 2021, between 04:00 – 06:00 UTC), DigiCert will perform scheduled maintenance.

During maintenance, for approximately 60 minutes, the services specified below under Service downtime will be down. Due to the scope of the maintenance, the services specified below under Service interruptions may experience brief interruptions during a 10-minute window.

Service downtime

From 22:00 – 23:00 MDT (04:00 – 05:00 UTC), while we perform database-related maintenance, the following services will be down for up to 60 minutes:

  • CertCentral / Services API
  • Direct Cert Portal / API
  • ACME
  • Discovery / API
  • ACME agent automation / API

API Note: Affected APIs will return “cannot connect” errors. Certificate-related API requests that return a “cannot connect” error message during this window will need to be placed again after services are restored.

Service interruptions

During a 10-minute window, while we perform infrastructure maintenance, the following DigiCert service may experience brief service interruptions:

  • Certificate Issuing Service (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • DigiCert ONE
  • Automation service
  • CT Log monitoring
  • Vulnerability assessment
  • PCI compliance scans

Services not affected

These services are not affected by the maintenance activities:

  • PKI Platform 8
  • PKI Platform 7
  • QuoVadis TrustLink

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance starts and when maintenance ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as the maintenance is completed.

new

Upcoming scheduled maintenance

On June 5, 2021, between 22:00 – 24:00 MDT (June 6, 2021, between 04:00 – 06:00 UTC), DigiCert will perform scheduled maintenance. Although we have redundancies to protect your service, some DigiCert services may be unavailable during this time.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance starts and when maintenance ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

enhancement

CertCentral Services API: Improved domains array in OV/EV order response

To make it easier to see how the Services API groups the domains on your OV/EV TLS certificate orders for validation, we added a new response parameter to the endpoints for submitting certificate order requests: domains[].dns_name.*

The dns_name parameter returns the common name or SAN of the domain on the order. To prove you control this domain, you must have an active validation for the domain associated with the domains[].name and domains[].id key/value pairs.

Example OV certificate order

JSON payload:

JSON payload

JSON response:

JSON response

The Services API returns the domains[].dns_name parameter in the JSON response for the following endpoints:

*Note: Only order requests for OV/EV TLS certificates return a domains array.

compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

fix

We fixed a bug that allowed site seals to display on fully-qualified domain names (FQDN) that were not included in the certificate.

Now, seals only display when there is an exact FQDN match.

new

Upcoming scheduled maintenance

On May 1, 2021, between 22:00 – 24:00 MDT (May 2, 2021, between 04:00 – 06:00 UTC), DigiCert will perform scheduled maintenance.

For up to 10 minutes total during the 2-hour window, we will be unable to issue certificates for the DigiCert platforms, their corresponding APIs, immediate certificate issuance, and those using the APIs for other automated tasks.

Affected services:

  • CertCentral / Service API
  • ACME
  • ACME agent automation / API
  • Direct Cert Portal / API
  • Certificate Issuing Service (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • QuoVadis TrustLink

Services not affected

  • PKI Platform 8
  • PKI Platform 7
  • DigiCert ONE managers

API note:

  • APIs will return "cannot connect" errors.
  • Certificate requests submitted during this window that receive a "cannot connect" error message will need to be placed again after services are restored.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance starts and when maintenance ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

enhancement

CertCentral Services API: Domain validation status in Domain info response

To make it easier to get a comprehensive validation status for your domains, DigiCert is deprecating the status parameter in the Domain info response. To ensure you are getting complete and accurate status information for each different validation type on your domains, you should use the validations array when you call the Domain info endpoint from your API integrations instead.

Note: The Domain info endpoint will continue to return a status parameter value.

Background

In the Domain info response, the status parameter is designed to return a single string value. When DigiCert offered fewer products, a single value in the API was enough to represent the validation status for your domains.

Now, DigiCert offers certificate products that use many different types of validation. Different validation types have different requirements, and these requirements change as industry standards evolve. As DigiCert validates your domains for different types of certificate issuance, each type of validation that you request can be in a different state.

For example:

  • The OV validation for a domain may be completed.
  • The EV validation for the same domain may be expired.

As a result, DigiCert can no longer use a single value to return comprehensive information about the validation status for a domain.

Instead of relying on a single value, use the Domain info endpoint to request a validations array – a list of objects with status information for each type of validation on the domain. To get this data, include the query parameter include_validation=true when you submit your request.

For example:

Example validations array in domain info response data

Learn more about using the Domain info endpoint

new

CertCentral Services API: Site seal enhancements

To help you manage your site seals in your API integrations, we’ve made the following updates to the CertCentral Services API:

  • New endpoint: Upload site seal logo
    We added a new endpoint – Upload site seal logo – you can use to upload your company logo for use with a DigiCert Smart Seal. This logo appears in the site seal on your website. Note: Only Secure Site and Secure Site Pro SSL/TLS certificates support the option to display your company logo in the site seal.
  • New endpoint: Update site seal settings
    We added a new endpoint – Update site seal settings – you can use to change the appearance of your site seal and the information that displays on the site seal information page.
  • Updated endpoint: Get site seal settings
    We updated the Site seal settings endpoint to return information about each property you can customize with the Update site seal settings endpoint.

Related topics:

enhancement

CertCentral Services API: Revoke certificate by serial number

To make it easier to manage certificates from your API integrations, we updated the Revoke certificate endpoint path to accept the certificate ID or the serial number of the certificate to revoke. Previously, the Revoke certificate endpoint path only accepted the certificate ID.

Example Revoke certificate path using the certificate ID:

https://www.digicert.com/services/v2/certificate/{{certificate_id}}/revoke

Example Revoke certificate path using the certificate serial number:

https://www.digicert.com/services/v2/certificate/{{serial_number}}/revoke

Learn more about using the Revoke certificate endpoint

new

DigiCert Smart Seal now available with Secure Site Pro and Secure Site TLS/SSL certificates

We are happy to announce the release of our new site seal, the DigiCert Smart Seal. The new Smart Seal works with your Secure Site Pro and Secure Site TLS certificates to provide your customers with the assurance that your website is secured by DigiCert—one of the most recognized names in TLS/SSL security.

To make the Smart Seal more interactive and engaging, we added a hover-over effect, animation, and the ability to display your company logo in the hover-over effect and animation feature.

  • Hover-over effect
    When visitors hover on the seal, it magnifies and displays additional data.
  • Animation
    When visitors come to your site, the seal slowly evolves between the seal and the additional details.
  • Logo*
    Add your logo to the hover-over effect and the site seal animation. Your logo appears with additional details.
    *DigiCert must approve your logo before it appears in the Smart Seal on your website.

Note: You must install the new site seal code on your website to use the Smart Seal image, the hover-over effect, the animation, and add your logo to the site seal.

Improved site seal information page

Secure Site and Secure Site Pro certificates allow you to add information to the site seal information page. This additional information enables site visitors to see the steps you are taking to ensure your website is secure.

  • Malware scan
    Site visitors can see that you monitor your website for viruses and malware.
  • CT log monitoring*
    Site visitors can see that you monitor the certificate transparency (CT) logs, allowing you to act quickly if a bad actor issues a fraudulent certificate for your domain
  • Blocklist
    Site visitors can see your business is clear from government and country-specific blocklists.
  • PCI compliance scan*
    Site visitors can see that you monitor your website to ensure it is compliant with PCI DDS Standards.
  • Verified customer
    Site visitors can see how long you've been using one of the most trusted names in TLS/SSL certificates to protect your websites.

*Note: CT log monitoring is only available with Secure Site Pro certificates. PCI compliance scan is only available with Secure Site Pro and Secure Site EV certificates.

Learn how to configure and install your Smart Seal and site seal information page

new

Upcoming scheduled maintenance

On April 3, 2021, between 22:00 – 24:00 MDT (April 4, 2021, between 04:00 – 06:00 UTC), DigiCert will perform scheduled maintenance.

During maintenance, for up to 10 minutes, we will be unable to issue certificates for the DigiCert platforms, their corresponding APIs, immediate certificate issuance, and those using the APIs for other automated tasks.

Affected services

For approximately 10 minutes, DigiCert will be unable to issue certificates for these services and APIs:

  • CertCentral / Service API
  • ACME
  • ACME agent automation / API
  • Direct Cert Portal / API
  • Certificate Issuing Service (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • QuoVadis TrustLink

Services not affected

These services are not affected by the maintenance activities:

  • PKI Platform 8 / API
  • PKI Platform 8 SCEP
  • PKI Platform 7 / API
  • PKI Platform 7 SCEP
  • DigiCert ONE managers

API note:

  • APIs will return "cannot connect" errors.
  • Certificate requests submitted during this window that receive a "cannot connect" error message will need to be placed again after services are restored.

What can I do?

Plan accordingly:

  • Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
  • Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
  • To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance starts and when maintenance ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as we complete the maintenance.

new

PKI Platform 8 重大メンテナンス

2021年03月20日 午後 06:00 ~ 12:00 MST(2021年03月21日 午前 00:00 ~ 06:00 UTC)),デジサートは、PKI Platform 8 について重大メインテナンス予定です。メンテナンス中、PKI Platform 8 と対応する API は、約 6 時間ダウンします。

どのような影響がありますか?

約6時間:

  • PKI Platform 8 にサインインしてインコンソール証明書使用期間タスクを実施できなくなります。
  • PKI Platform 8 の対応 API またはプロトコル (例えば、SOAP、REST、SCEP、Intune SCEP、および EST) のいずれかを使用して証明書使用期間の作業ができなくなります。
  • 次のことができなくなります。
    • 証明書登録: 新規、更新または再発行
    • ドメインと組織の追加
    • 認証要求の提出
    • レポート表示、証明書の失効、およびプロファイルの作成
    • ユーザーの追加、証明書の表示、および証明書のダウンロード
  • デジサートは PKI Platform 8 とその対応する API について証明書を発行できなくなります。
  • API は、"「接続できません」" エラーを返してきます。
  • "「接続できません」" エラーを受け取る証明書登録は、デジサートのサービス復帰後、再提出が必要です。

影響を受けないサービス:

重大メンテナンスは次のサービスには影響を及ぼしません。

  • PKI Platform 7
  • DigiCert ONE
  • CertCentral / Service API
  • Direct Cert ポータル / API
  • 証明書発行サービス (CIS)
  • CertCentral Simple Certificate Enrollment Protocol (SCEP)
  • QuoVadis TrustLink
  • Discovery / API
  • ACME
  • ACME エージェント自動化 / API

どのようにしたらよいですか?

必要に応じて計画:

  • 重大メンテナンスについて、高優先度オーダー、更新、再発行の発行を予約します。
  • API およびプロトコルを使用して、即時証明書発行およびその他の自動タスクを行う場合は、中断が発生する場合があります。
  • リアルタイムでメンテナンス更新を利用するには、 [デジサートステータス」  ページに利用登録してください。ここには、メンテナンスが開始された時間とメンテナンス終了時間のメールが含まれます。
  • 重要および予約済メンテナンスの日付と時刻については、 デジサート 2021 予約済メンテナンスを参照してください

サービスはメンテナンス完了次第、復帰されます。

new

CertCentral: New purchase order and invoice system

We are happy to announce that we are using a new purchase order and invoice system in CertCentral. We've made several changes to make it easier for you to manage your purchase orders and invoices.

The next time you sign in to CertCentral, you will see two new menu options under Finances: Pay Invoice and Purchase Orders and Invoices. Additionally, we now send all invoice emails from our new invoice system.

Pay invoices page

When you open the Pay invoice page, all invoices are preselected by default. You can choose to pay them all or select those you want to pay.

Note: If you use divisions with separate funds, when you open the Pay invoice page, all invoices for the top-level division are selected by default. Use the For dropdown to view the unpaid invoices by division in your account.

Purchase orders and invoices page

On the new Purchase orders and invoices page, you can create a purchase order (PO). In the Purchaseorders table, you can view pending and rejected POs. After we approve a PO, it becomes an invoice and moves to the Invoices table.

Note: If you use divisions with separate funds, you see the Purchase order and invoice summary page. When you click a division name, it opens the Purchase order and invoices page, where you can view the POs and invoices for that division.

In the Invoices column of the Invoices table, you can see the invoice number and the PO from which we generated it. You can download a copy of the invoice or pay the invoice. When you click Pay invoice, we take you to the Pay invoice page to pay the invoice and make the funds available in your account.

Existing PO and Invoice migration

  • Autogenerated invoices
    When we migrated our billing system, we did not migrate your autogenerated invoices. At the end of March, we will autogenerate a new invoice for your total amount owed. However, you can make a payment on your account at any time on the Deposit Funds page (in the left main menu, go to Finances > Deposit Funds).
  • Invoices generated from approved purchase orders
    When we migrated your invoices to the new system, we gave them new invoice numbers. However, the associated purchase order number remains the same. If you have questions or trouble finding an invoice, please contact your account manager or DigiCert Accounts Receivable. Make sure to include your PO number and the original invoice number in the email.
enhancement

CertCentral Services API: View balance enhancements

To help you track financial data in your API integrations, we updated the View balance endpoint to return the following data:

  • unpaid_invoice_balance
    Unpaid invoice balance
  • negative_balance_limit
    Amount the balance can go into the negative
  • used_credit_from_other_containers
    Amount owed by other divisions in the account (for accounts with separate division funds enabled)
  • total_available_funds
    Total funds available for future purchases

Example response: 

Example response from the View balance endpoint

For more information, see the documentation for the View balance endpoint.

enhancement

CertCentral Services API: Auto-reissue support for Multi-year Plans

We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.

You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.

Enable auto-reissue for a new order

To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue.

By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue parameter to 1 in the body of your request.

Example request body:

Example order request body with auto reissue enabled

Note: In new order requests, we ignore the auto_reissue parameter if:

  • The product does not support Multi-year Plans.
  • Multi-year Plans are disabled for the account.

Update auto-reissue setting for existing orders

To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.

Get auto-reissue setting for an existing order

To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue. The auto_reissue parameter returns the current auto-reissue setting for the order.

new

ICA certificate chain selection for public DV flex certificates

We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:

  • GeoTrust DV SSL
  • Thawte SSL 123 DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  • Encryption Everywhere DV

You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.

This feature allows you to:

  • Set the default ICA certificate chain for each supported public DV certificate.
  • Control which ICA certificate chains certificate requestors can use to issue their DV certificate.

Configure ICA certificate chain selection

To enable ICA selection for your account:

  1. Contact your account manager or our Support team.
  2. Then, in your CertCentral account, in the left main menu, go to Settings > Product Settings.
  3. On the Product Settings page, configure the default and allowed intermediates for each supported and available DV certificate.

For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.

new

DigiCert Services API: DV certificate support for ICA certificate chain selection

In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:

Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.

Example DV certificate request:

Example DV TLS certificate request

For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.

new

Upcoming scheduled maintenance

On March 6, 2021, between 22:00 – 24:00 MST (March 7, 2021, between 05:00 – 07:00 UTC), DigiCert will perform scheduled maintenance.

Although we have redundancies in place to protect your service, some DigiCert services may be unavailable during this time.

What can you do?

Please plan accordingly.

  • Schedule your high-priority orders, renewals, and reissues around the maintenance window.
  • To get live maintenance updates, subscribe to the DigiCert Status page. The subscription includes emails to let you know when maintenance starts and ends.
  • For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.

Services will be restored as soon as the maintenance is completed.

enhancement

CertCentral:[オーダー]ページの組織検索を改善しました

お使いのアカウントで個別組織についてオーダーした証明書を探しやすくするため、[オーダー] ページの [組織] 検索を更新しました。

これで、各組織について3つの新しい情報が表示されます。この情報は、組織名が同様または同一のときに役立ちます。

  • 仮名 (使用する場合)
  • 組織 ID
  • 住所

ご自身でご確認ください

左メインメニューで、[証明書] > [オーダー] の順に進みます。[オーダー]ページで、[詳細検索を表示する] を拡大します。[組織] ドロップダウンで ,組織を検索します。次の組織情報が表示されます-名前、仮名 (使用する場合)、ID、および住所。

注記:組織の名前を入力することもできます。

enhancement

CertCentral:改善したオーダー詳細ページ

お使いのアカウントについて証明書をオーダーした組織を特定しやすくするため、[オーダー詳細] ページの [組織] 検索を更新しました。

これで、各組織について2つの新しい情報が表示されます。

  • 仮名 (使用する場合)
  • 組織 ID

この情報は、組織名が同様または同一のときに役立ちます。

ご自身でご確認ください

左メインメニューで、[証明書] > [オーダー] の順に進みます。[オーダー] ページで、証明書のオーダー番号をクリックします。[オーダー詳細]ページ,([組織] セクション中)には、組織名、組織 ID、および仮名(使用した場合)が表示されます。

enhancement

CertCentral:[新しいドメイン]ページの組織オプションを改善しました

お使いのアカウントで組織と新しいドメインを関連づけやすくするため、[新しいドメイン] ページの [組織] オプションを更新しました。

これで、各組織について3つの新しい情報が表示されます。この情報は、組織名が同様または同一のときに役立ちます。

  • 仮名 (使用する場合)
  • 組織 ID
  • 住所

検索している組織の名前を入力する機能も追加しました。

ご自身でご確認ください

左メインメニューで、[証明書] >[ドメイン]の順に進みます。[ドメイン] ページで、[新しいドメイン] をクリックします。[組織] ドロップダウン[新しいドメイン] ページで、,組織を検索します。次の組織情報が表示されます-名前、仮名 (使用する場合)、ID、および住所。組織の名前を入力することもできます。

CertCentral のドメイン管理についての詳細は、「ドメインを管理する」 を参照してください。

enhancement

CertCentral:[新規]と[管理グループを編集する]ページの指定組織オプションを改善しました

お使いのアカウントで管理グループが証明書をオーダーできる組織を指定しやすくするため、[新しい管理グループ]と[管理グループを編集する]ページの [個別組織] オプションを更新しました。

これで、各組織について3つの新しい情報が表示されます。この情報は、組織名が同様または同一のときに役立ちます。

  • 仮名 (使用する場合)
  • 組織 ID
  • 住所

検索している組織の名前を入力する機能も追加しました。

ご自身でご確認ください

左メインメニューで、[アカウント] > [管理グループ] の順に進みます。[管理グループ] ページで、[新しい管理グループ] をクリックします。[証明書をオーダーを可能にする対象] 下の[新しい管理グループ]ページで、,[個別組織] を選択します。ドロップダウンで組織を探すと、次の組織情報が表示されます-名前、仮名 (使用する場合)、ID、および住所。組織の名前を入力することもできます。

CertCentral の管理グループについての詳細は、「管理グループ管理」 を参照してください。

enhancement

CertCentral:クライアント証明書要求フォームで組織オプションを改善しました

お使いのアカウントで組織のクライアント証明書をオーダーしやすくするため、クライアント証明書要求フォームの  [組織]  オプションを更新しました。.

これで、各組織について3つの新しい情報が表示されます。この情報は、組織名が同様または同一のときに役立ちます。

  • 仮名 (使用する場合)
  • 組織 ID
  • 住所

検索している組織の名前を入力する機能も追加しました。

ご自身でご確認ください

お客様が次回クライアント証明書を要求するとき、[組織] をクリックします。[組織] ドロップダウンに,次の組織情報が表示されます-名前、仮名 (使用する場合)、ID、および住所。組織の名前を入力することもできます。

new

CertCentral Services API:新しいサブアカウントエンドポイント

お使いのサブアカウントを管理しやすくするため、CertCentral Services API に次の2つの新しいエンドポイントを追加しました。[サブアカウントドメインを一覧表示する][サブアカウント組織を一覧表示する]

enhancement

CertCentral Services API:[サブアカウントを作成する]エンドポイントを改善しました

お使いのサブカウントをお客様が管理しやすくするため [サブアカウントを作成する] エンドポイントに次の2つの新しい要求パラメータを追加しました。child_namemax_allowed_multi_year_plan_length

  • child_name – このパラメータを使用して、サブアカウントにカスタム表示名を設定します。
  • max_allowed_multi_year_plan_length – このエンドっピントを使用して、サブアカウントの複数年プランオーダーの最大長をカスタマイズします。

JSON 要求の例:

Create subaccount example request

サブアカウントを作成後、[サブアカウント情報] エンドポイントを使用して、サブアカウントの "表示" 名と許可された複数年プランのオーダー長を表示します。

new

PKI Platform 8 Partner Lab 重大メンテナンス

2021年02月16日 午後 06:00 ~ 12:00 MST(2021年02月17日 午前 01:00 ~ 05:00 UTC)、デジサートは予約済メンテナンスを実施予定です。

どのような影響がありますか?

約4時間、

  • Partner Lab と対応する API に接続できなくなります。
  • お客様は、次の証明書要求を提出できません。
  • DigiCert PKI Platform 8 ポータルへの Partner Lab からアクセスができなくなります。
  • デジサートは、 Partner Lab のテスト証明書を API から発行できなくなります。

以下は影響を受けません。

  • PKI Platform 8 – Production
  • PKI Platform 7
  • DigiCert ONE

どのようにしたらよいですか?

必要に応じて計画します。

  • オーダー、更新、およびテスト証明書の再発行を含む、重大なメンテナンスに関して Partner Lab テストの予約を行います。
  • Partner Lab API を使用して、即時証明書発行および自動タスクをテストしている場合は、中断が発生する場合があります。
  • 重要および予約済メンテナンスの日付と時刻については、 デジサート 2021 予約済メンテナンスを参照してください

サービスはメンテナンス完了次第、復帰されます。

new

PKI Platform 8 Partner Lab 重大メンテナンス

2021年02月08日 午後 06:00 ~ 12:00 MST(2021年02月09日 午前 01:00 ~ 07:00 UTC)、デジサートは予約済メンテナンスを実施予定です。

どのような影響がありますか?

約 6 時間、

  • Partner Lab と対応する API に接続できなくなります。
  • 証明書要求の提出または DigiCert PKI Platform 8 ポータルへの Partner Lab からアクセスができなくなります。
  • デジサートは、 Partner Lab プラットフォームのテスト証明書を API から発行できなくなります。

以下は影響を受けません。

  • PKI Platform 8 – Production
  • PKI Platform 7
  • DigiCert ONE

どのようにしたらよいですか?

必要に応じて計画します。

  • オーダー、更新、およびテスト証明書の再発行を含む、重大なメンテナンスに関して Partner Lab テストの予約を行います。
  • Partner Lab API を使用して、即時証明書発行および自動タスクをテストしている場合は、中断が発生する場合があります。
  • 重要および予約済メンテナンスの日付と時刻については、 デジサート 2021 予約済メンテナンスを参照してください

サービスはメンテナンス完了次第、復帰されます。

new

今後の予約済メンテナンス

2021年02月06日 午後 10:00 ~ 12:00 MST(2021年02月07日 午前 05:00 ~ 07:00 UTC)),デジサートは重大メンテナンスを実施します。

メンテナンス中、下記のサービスは約 60 分間ダウンします。ただし、メンテナンス実施の範囲によっては、2時間のメンテナンスウインドウ中さらにサービスが中断される場合があります。

次のプラットフォームにサインインおよび次のサービスと API にアクセスできなくなります。

  • CertCentral / Service API
  • Direct Cert Portal / Direct Cert Portal API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Discovery / API
  • ACME
  • ACME エージェント自動化 / API

デジサートは、以下のサービスおよび API について証明書を発行することができなくなります。

  • CertCentral / Services API
  • Direct Cert Portal / Direct Cert Portal API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Complete Website Security (CWS) / API
  • Managed PKI for SSL (MSSL) / API
  • QV トラストリンク

以下のサービスはメンテナンス作業の影響を受けません。

  • PKI Platform 8
  • PKI Platform 7
  • DigiCert ONE マネージャ

API メモ:

  • 証明書の要求、ドメインと認証要求の追加など、証明書関連のトランザクションを処理するサービスは利用できなくなります。
  • API は、“「接続できません」” エラーを返してきます。
  • "「接続できません」" エラーメッセージが届くこのウインドウで行った証明書要求は、サービス復帰後でもう一度行うひつようがあります。

どのようにしたらよいですか?

必要に応じて計画:

  • メンテナンスウインドウについて、高優先度オーダー、更新、再発行の発行を予約します。
  • API を使用して、即時証明書発行およびその他の自動タスクを行う場合は、中断が発生する場合があります。
  • リアルタイム更新を行うには、 [デジサートステータス]  ページに利用登録してください。
  •  「デジサート 2021 予約済メンテナンス」 または予約済メンテナンス日付と時刻を参照してください。

サービスはメンテナンス完了次第、復帰されます。

enhancement

CertCentral:改善した組織ページ

 [組織]ページで組織を探しやすくするため、現在、各組織について新しい情報3つ表示します。この追加情報は、組織名が同様または同一のときに役立ちます。

  • ID
  • 仮名 (使用する場合)
  • 住所

[組織] ページでは、組織の ID がある  [組織 #]  列が表示されます。名前の下に組織住所も表示されます。また、組織の仮名がある場合は、それもあわせて組織名の横に括弧付きで表示されます。

注記:以前は、この情報を表示する唯一の方法は、組織名をクリックし組織の詳細ページを開くことでした。

CertCentral の組織についての詳細は、「組織を管理する」 を参照してください。

enhancement

CertCentral:OV/EV 証明書要求フォームに組織オプションを改善およち追加しました

お使いのアカウントで組織の TLS/SSL 証明書をオーダーしやすくするため、OV と EV 証明書要求フォームの  [組織を追加する]  オプションを更新しました。.

10 以上の組織に証明書を発行するアカウントの場合は、3つの新しい情報を表示します。この情報は、組織名が同様または同一のときに役立ちます。

  • 仮名 (使用する場合)
  • 組織 ID
  • 住所

検索している組織の名前を入力する機能も追加しました。

ご自身でご確認ください

お客様が次回 OV または EV TLS/SSL 証明書を要求するとき、[組織を 追加する] をクリックしてください。[組織] ドロップダウンに ,次の組織情報が表示されます-名前、仮名 (使用する場合)、ID、および住所。組織の名前を入力することもできます。

enhancement

[CertCentral オーダー]ページ:新しい検索オプション

[オーダー]ページで、次の2つの新しい検索オプションを追加しました。

  • 証明書シリアル番号
  • 追加メールアドレス*

お客様が次回オーダーを検索するとき、証明書のシリアル番号または追加メールアドレスを使用して、証明書オーダーを探します。

*注意:証明書の要求時または要求提出後、証明書オーダーにメールアドレスを追加することができます。これで、他者は証明書発行済メールなど、そのオーダーについて証明書通知メールを受け取ることができます。

新しい検索フィルターを使用するには

  1. 左メインメニューで、[証明書] > [オーダー] の順に進みます。
  2. [検索] ボックス の[オーダー]ページで、,証明書のシリアル番号または追加メールアドレスをオーダーに入力します。
  3. [進む]をクリックします。
new

CertCentral Services API:新しいユニットオーダー詳細と[ユニットオーダーをキャンセスする]エンドポイント

CertCentral Services API に新しいエンドポイントを追加しましたので、お知らせいたします。ユニットオーダー詳細ユニットオーダーをキャンセルする.

これらのエンドポイントで、ユニットオーダーについての情報を取得し、ユニットオーダーをキャンセルすることができます。

ユニットオーダーをキャンセルする:

  • ユニットオーダーをキャンセルできるのは、オーダー執行から30日以内のみです。
  • オーダーのサブアカウントがユニットの使用した場合は、ユニットオーダーをキャンセルすることはできません。

ユニットを支払方法として使用するサブアカウントを管理する場合、Services API を使用して、次のタスクを実行できます。

enhancement

CertCentral Services API:[製品リスト]、[製品制限]、および[製品情報]エンドポイントを改善

お使いのアカウント中の電子証明書製品について利用可能なオーダー有効期間を探しやすくするため、[製品リスト]、[製品制限]、および[製品情報]エンドポイントに応答パラメータを追加しました。

これらの新しい応答パラメータで、お使いのアカウントの各製品のデフォルトおよびカスタマイズオーダー有効期間を表示することができます。

[製品リスト]エンドポイント

allowed_order_validity_years パラメータは、お使いのアカウントの各製品についてサポート対象のオーダー有効期間のリストを返してきます。

[製品制限]エンドポイント

allowed_order_lifetimes パラメータは、お使いのアカウントの管理グループとユーザーロール割当が異なるユーザー向けに、カスタマイズしたオーダー有効期間制限のリストを返してきます。

[製品情報]エンドポイント

  • allowed_order_validity_years パラメータは、証明書製品を要求する場合に利用可能なオーダー有効期間のリストを返してきます。
  • custom_order_expiration_date_allowed パラメータは、証明書製品を要求した場合にカスタムオーダー有効期限日を設定できるかどうかを記載したブーリアン値を返してきます。
enhancement

CertCentral Services API:[サブアカウントオーダー情報]エンドポイントを改善

サブアカウントオーダーの有効期間についての情報を探しやすくするため、[サブアカウントオーダー情報] エンドポイントに新しい応答パラメータを追加しました。これらの新しい応答パラメータで、オーダー開始日、オーダー終了日、およびオーダーが複数年プランかどうかを確認できます。

  • is_multi_year_plan パラメータは、オーダーが複数年プランの場合に "1" を返します。
  • order_valid_from パラメータは、オーダー有効期間の開始日を返します。
  • order_valid_till パラメータは、オーダー有効期間の終了日を返します。

新しいパラメータがある応答の例

Subaccount order updates

new

今後の予約済メンテナンス

2021年01月09日 午後 10:00 ~ 12:00 MST(2021年01月10日 午前 05:00 ~ 07:00 UTC)、デジサートは予約済メンテナンスを実施予定です。

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。

それはどのようにしたらよいですか?
予定にあわせてプランを立ててください。

  • 高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。
  • リアルタイム更新を利用するには、デジサートステータス ページに利用登録してください。
  • 予約済メンテナンスの日付と時刻については、DigiCert 2021 予約済メンテナンス.を参照してください

サービスは、メンテナンス完了次第、復帰されます。

new

CertCentral Services API:更新通知設定を更新する

CertCentral Services API 連絡先に新しいエンドポイントを追加しました。更新通知設定を更新する.このエンドポイントを使用して、証明書オーダーの更新通知を有効または無効にします。 

詳細は、Services API ドキュメントでこのレファレンストピックをご覧ください。

enhancement

デジサート複数年プランの使用期間をカスタマイズする

CertCentral で TLS 証明書を要求するときに複数年プラン (MyP) のカスタム使用期間を構成できるようになりましたので、お知らせいたします。TLS 証明書要求フォームで、 [カスタムオーダー有効期間] オプションを使用して、TLS 証明書オーダーの長さをカスタマイズします。

注記:最長 TLS 証明書有効期間は、業界ベストプラクティスに倣い 397 日です。「2 年パブリック SSL/TLS 証明書の終了」 を参照してください。

カスタム複数年プランオーダーは、日数または有効期限日で設定できます。.最長オーダー期間は 2190 日 (6 年) です。最短オーダー期間は 7 日です。

注記:カスタムオーダーは、そのオーダーに証明書を発行する日から開始となります。オーダー価格は、選択した証明書と、カスタムオーダー期間にあわせて日割計算されます。

MyP カバレッジをカスタマイズするには

  1. 要求証明書フォームで、[カバレッジ長を選択する] をクリックします。
  2. [サイトをどのくらいの期間保護する必要がありますあか]ポップアップウインドウで、[カスタムオーダー期間] を選択します。
  3. [お客様オーダー期間を選択する]で、複数年プランの使用期間を構成します。
    1. カスタムオーダー期間
      プランの期間を日数で指定します。
    2. カスタムオーダー有効期限日
      プランが有効期限となる日を選択します。
  4. [保存]をクリックします。
enhancement

パブリック TLS 証明書の製品設定を更新

証明書オーダープロセスで管理を強化するため、パブリック TLS 証明書の製品設定を更新しました。これで、パブリック TLS 証明書のオーダー時からユーザーが選択できる許可された複数年プランオーダー期間を決定できます。

TLS 証明書の製品設定ページで、[許可有効期間] オプションを使用して、どの MyP オーダー期間が TLS 証明書要求フォームに表示されるかを決定します。1 年、2 年、3 年、4 年、5 年、および 6 年。製品設定に適用された変更は、CertCentral Services API から行った要求に適用されますので、注意してください。

注記:以前は、許可有効期間 オプションは、パブリック TLS 証明書のオーダー時にユーザーが選択できる最長証明書使用期間を決定するのに使用されました。しかし、業界が 1 年証明書に移行する中で、このオプションは証明書期間には必要なくなります。「2 年パブリック SSL/TLS 証明書の終了」 を参照してください。

TLS 証明書の許可 MyP オーダー期間を構成するには

  1. 左メインメニューで、[設定] >[製品設定] の順に進みます。
  2. [製品設定]ページで、パブリック TLS 証明書を選択します。例えば、[ セキュア・サーバ ID] を選択します。
  3. [許可有効期間] ドロップダウンのセキュア・サーバ ID で、有効期間を選択します。
  4. [設定を保存する]をクリックします。

ユーザーが次回セキュア・サーバ ID 証明書をオーダーする場合、要求フォームで選択した有効期間のみが表示されます。

注記:複数年プランオーダー期間で制限を設定することで、TLS 証明書要求フォームからカスタム有効期間オプションが削除されます。

enhancement

CertCentral ドメインメページ:改善した domains.csv レポート

[ドメイン]ページで、CSV rレポートを改善し、OV と EV ドメイン認証有効期限日をトラッキングし、以前使用したドメインの利用権確認 (DCV) 方法を表示しやすくしました。

次回 CSV ファイルをダウンロードする とき,レポートには次の3つの新しい列が表示されます。

  • OV の有効期限
  • EV の有効期限
  • DCV 方法

domains.csv レポートをダウンロードするには

  1. 左メインメニューで、[証明書] >[ドメイン]の順に進みます。
  2. [CSV をダウンロードする] ドロップダウンのレコードをダウンロード[ドメイン]ページで、[すべてのレポートをダウンロードする] を選択します。

domains.csv を開くと、レポートに新しい列と情報が表示されます。

new

CertCentral ゲストアクセス機能

ゲストアクセスが CertCentral Enterprise と CertCentral Partner で利用可能になりましたので、お知らせいたします。この機能では、ユーザーは証明書オーダーをお使いの CertCentral アカウントに追加する必要なく、管理することができます。

ゲストアクセスでは、お使いのアカウントに一意の URL が付与され、アカウントユーザー以外の者が証明書オーダーにアクセスできるように、共有が可能になります。これは、アカウントアクセスが必要なく、証明書のダウンロード、再発行、更新、または失効機能のみがある者と証明書オーダーへのアクセスを共有する迅速、簡単で安全な方法です。

注記:ゲストアクセスで可能なのは 単一オーダーを1度に管理することで、ユーザーが他の CertCentral 情報または機能へのアクセス.できるわけではありません。

ゲストアクセスを使用するには、初めにお使いのアカウントで有効にしてください。左メニューで、 [アカウント] > [ゲストアクセス].の順に進みます。ゲストアクセスおよびお使いのアカウントでの構成方法についての詳細は、「ゲストアクセス」 を参照してください。

ゲストアクセスを通じてオーダーにアクセスするには:

  1. 一意の URL を使用して、[ゲストポータルへようこそ] ページに進みます。
  2. メールアドレスと証明書オーダー ID またはオーダーに含まれるドメイン(コモンネームまたはサブジェクトの別名 (SAN)) を入力して、[続行] をクリックします。
  3. CertCentral から一意の認証コードが記載されたメールが届くのを待ちます。
  4. [送信された認証コードを入力する] ページで、メールに記載の認証コードを入力し、[サインイン] をクリックします。

これで、証明書オーダーを表示し、その証明書をダウンロード、再発行、更新、または失効にすることができます。

new

予約メンテナンス

2020年12月6日 午前 08:00 ~ 10:00 UTCデジサートは予約済メンテナンスを実施予定です。

どのような影響がありますか?

メンテナンス中、これらのサービスおよび API へのアクセスが影響を受ける可能性があります。

  • CertCentral / Services API
  • Direct Cert Portal / Direct Cert Portal API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Discovery / API
  • ACME
  • ACME エージェント自動化 / API

また、これらのサービスおよび API の証明書が影響を受ける可能性があります。

  • CertCentral / Services API
  • Direct Cert Portal / Direct Cert Portal API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Complete Website Security (CWS) / API
  • Managed PKI for SSL (MSSL) / API
  • PKI Platform 7 / PKI Platform 8
  • QV トラストリンク

どのようにしたらよいですか?

必要に応じて計画します。

  • 高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。
  • 証明書即時発行と自動化タスクのために API を使用する場合、この期間中、中断の発生が見込まれます。

サービスはメンテナンス完了次第、復帰されます。

enhancement

[CertCentral オーダー]ページ:改善した読込時間

CertCentral では、[オーダー]ページを更新し、膨大な証明書オーダー量の管理者向けにロード回数を改善しました。[オーダー]ページを次回訪問するとき、さらに早く開くようになります(左メインメニューで、[証明書] > [オーダー] の順に進みます)。

読込時間を改善するため、初回ページ訪問時の証明書オーダーのフィルタリング方法を変更しました。以前は、有効な 証明書オーダーのみが表示されるように、ページをフィルタリングしました。しかし、これは膨大な証明書オーダー量がある者には問題でした。お使いのアカウントにオーダー量が多いほど、[オーダー]ページが開くまでに要する時間が長くなります。

これで、ページを訪問したとき、すべての証明書をフィルタリングなしで、もっとも最近作成された証明書オーダーがリストの初めに表示され、降順に返します。有効な証明書のみを表示するには、[ステータス] ドロップダウンで、[有効] を選択し、[進む] をクリックします。

new

CertCentral Services API:サブアカウント用ユニットを購入し、ユニットオーダーを表示する

CertCentral Services API で、ユニット購入とユニットオーダー表示の新しいエンドポイントを追加しました。これで、証明書要求の支払方法にユニットを使用するサブアカウント管理する場合、Services API を使用して、サブアカウント用に他のユニットを購入し、ユニットオーダー履歴についての情報を取得することができます。

詳細は、新しいエンドポイントのレファレンスドキュメントを参照してください。

enhancement

CertCentral Services API:ドキュメント更新

CertCentral Services API のドキュメントに次の更新を行いましたので、お知らせいたします。

  • 新しいバウチャー価格推定 API
    [バウチャー価格推定] エンドポイントに新しいレファレンストピックを発行しました。バウチャーを使用するお客様は、このエンドポイントを使用して、個別バウチャー構成のオーダーのコスト(税込み)を推定することができます。
  • API 用語集更新
    各組織認証ステータス値を定義するため、新しいテーブルとあわせ、用語集を更新しました。「用語集 - 組織認証ステータス」 を参照してください。
  • 要求パラメータを追加してアカウントメールドキュメントを更新
    emergency_emails 要求パラメータを、[アカウントメールを更新する] エンドポイント用ドキュメントに追加しました。このパラメータを使用して、デジサートから緊急通知を受け取るメールアドレスを更新します。

アカウントメールを更新する 要求本文:

emergency_emails.png
  • 製品情報ドキュメントに応答パラメータを追加
    validation_type,allowed_ca_certs,と default_intermediate 応答パラメータを、[製品情報] エンドポイントに追加しました。
    • validation_type パラメータを使用して、所定製品の認証タイプを取得します。
    • allowed_ca_certs パラメータを使用して、所定製品をオーダーするときに選択可能な ICA 証明書についての情報を取得できます。*
    • default_intermediate パラメータを使用して、所定製品のデフォルト ICA の ID を取得します。*

製品情報 応答データ:

Product info response.png

* 注記:[製品情報] エンドポイントは、ICA 選択をサポートする allowed_ca_certsdefault_intermediates パラメータのみを返します。また、ICA 選択 (OV と EV フレックス証明書) をサポートするパブリック SSL 証明書の場合、これらのパラメータは、ICA 選択がアカウントについて有効な場合のみ、返されます。また、default_intermediates パラメータは、管理者がアカウントで管理グループまたはユーザーロール用に製品設定をカスタマイズした場合のみ、返されます。詳細は、「パブリック OV と EV フレックス証明書の ICA 証明書チェーンオプション」 を参照してください。

compliance

デジサートは SHA-1 コードサイニング証明書の発行を停止

 2020年12月1日(火) MST,デジサートは SHA-1 コードサイニングと SHA-1 EV コードサイニング証明書のハック尾を停止予定です。

注記:すべての既存の SHA-1 コードサイニング/EV コードサイニング証明書は、有効期限が切れるまでそのまま有効になります。

デジサートではなぜ、このような変更を行うのですか?

新しい業界基準に準拠するため、認証局 (CA) は、2021年1月1日までに次の変更を実施する必要があります。

  • SHA-1 コードサイニング証明書の発行を停止する
  • SHA-1 中間 CA と SHA-1 ルート証明書の発行を停止し、SHA-256 アルゴリズムコードサイニングとタイムスタンプ証明書を発行する

パブリックトラストコードサイニング証明書の発行と管理のベースライン要件付録 A を参照してください。

SHA-1 コードサイニング証明書の変更は、私にどのような影響がありますか?

SHA-1 コードサイニング証明書に依拠する場合、2020年12月1日までに必要に応じて、次の対応を行ってください。

  • 新しい SHA-1 証明書を取得する
  • SHA-1 証明書を更新する
  • 必要な SHA-1 証明書を再発行および取得する

2020年12月1日の変更に関する詳細は、 ナレッジベースの記事 「デジサートは SHA-1 コードサイニング証明書の発行を停止する」 を参照してください。

他に質問がある場合は、アカウントマネージャまたは サポートチーム にお問い合わせください。.

new

予約メンテナンス

2020年11月8日 午前 08:00 ~ 10:00 UTCデジサートは予約済メンテナンスを実施予定です。

どのような影響がありますか?

メンテナンス中、これらのサービスおよび API へのアクセスが影響を受ける可能性があります。

  • CertCentral / Services API
  • Direct Cert Portal / Direct Cert Portal API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Discovery / API
  • ACME
  • ACME エージェント自動化 / API

また、これらのサービスおよび API の証明書が影響を受ける可能性があります。

  • CertCentral / Services API
  • Direct Cert Portal / Direct Cert Portal API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Complete Website Security (CWS) / API
  • Managed PKI for SSL (MSSL) / API
  • PKI Platform 7 / PKI Platform 8
  • QV トラストリンク

どのようにしたらよいですか?

必要に応じて計画します。

  • 高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。
  • 証明書即時発行と自動化タスクのために API を使用する場合、この期間中、中断の発生が見込まれます。

サービスはメンテナンス完了次第、復帰されます。

enhancement

CertCentral Services API:OV と EV 証明書オーダーへの応答データに、新しいドメイン用の DCV トークンを追加

オーダーの新しいドメインにドメインの利用権確認 (DCV) 要求トークンを返すため、パブリック OV と EV SSL 証明書のオーダー用にエンドポイントを更新しました。

これで、OV または EV 証明書を要求する場合、オーダーの新しいドメイン用に DCV 要求トークンを取得するため、個別要求を発行する必要はなくなります。代わりに、オーダー要求への応答データから直接トークンを取得することができます。

応答データの例:

Example response for an OV order with a new domain

注記:dcv_token は、オブジェクトは、オーダーの別のドメインの範囲で認証されるドメインについて、お使いのアカウントにすでに存在するドメインについて、または既存のドメインのサブドメインについては、返されません。

この更新は次のエンドポイントに適用されます。

new

デジサートを複数の中間 CA 証明書と入替

11月2日、デジサートは別のセットの中間 CA 証明書 (ICA) を入れ替えます。入れ替える ICA 証明書のリストについては、「DigiCert ICA 更新 KB 記事」 を参照してください。

どのような影響がありますか?

新しい ICA を始動することで、既存の証明書が影響を受けることはありません。すべての発行済証明書の有効期限が切れるまで、証明書ストアから古い ICA を削除することはありません。これは、入れ替えた ICA から発行された有効な証明書が引き続き信頼できることを意味します。

ただし、新しい ICA から発行されているため、それらを再発行すると、既存の証明書に影響を及ぼします。インストールするべての証明書に、所定の ICA を必ず含めることをお勧めします。これは、ICA 入替が通知なしで行われるようにするため、常に推奨するベストプラクティスです。

以下のいずれかを実行しないかぎり、特に操作は必要ありません。

  • 中間認証局証明書の旧バージョンをピン留めする
  • 中間認証局証明書の旧バージョンの受け入れをハードコーディングする
  • 中間認証局証明書の旧バージョンを含むトラストストアを運営する

上記のいずれかを実行するばあい、現在の環境をできるかぎり早い段階で更新することをお勧めします。ICA の ピンニングを停止およびハードコーディングを停止するか、ICA から発行されれた証明書が信頼されるように必要な変更を行ってください (すなわち、更新した ICA とトラストルーツまでチェーンできます)。

中間 CA 証明書の入替

下記のページは必ず、モニタリングしてください。これらは有効なページで、ICA 証明書入替情報と新しいデジサートの中間 CA 証明書のコピーとともに、定期的に更新されます。

デジサートはなぜ、中間 CA 証明書を入れ替えるのですか?

次の目的で ICA の入替を行います。

  • ICA 入替でお客様のアジリティを促進する。
  • 証明書発行の範囲を所定の ICA から削減し、業界基準および CA/Browser Forum ガイドラインでの変更による、中間およびエンドエンティティ証明書への影響を緩和する、
  • ICA が最新の改善をベースに作動できるように、インターネットのセキュリティを改善する。

質問や懸念事項がある場合は、マネージャまたは サポートチーム までお問い合わせください。

new

CertCentral Services API:ドキュメント更新

DV 証明書オーダー用の CertCentral Services API ドキュメントに新しい要求パラメータを追加しました。use_auth_key. 既存の AuthKey があるアカウントでは、このパラメータを使用して DV 証明書オーダーを執行するときに AuthKey 要求トークン用の DNS レコードを選択できるかどうかをチェックできます。

デフォルトでは、お使いのアカウントについて AuthKey が存在している場合、DV 証明書をオーダーする前に DNS レコードへの AuthKey 要求トークンを追加する必要があります。AuthKey 要求トークンでは、即時証明書発行が可能なため、証明書の使用期間管理に費やす時間が短縮されます。ただし、メール認証またはデジサート生成トークンを使用したドメインの利用権確認に時間を要する場合があります。これらの場合、use_auth_key パラメータでは、オーダーレベルで AuthKey 要求トークンへのチェックを無効にできるため、別の方法を使用して、ドメインの利用権確認を行うことができます。ドメインの利用権確認 (DCV) についての詳細は、「ドメインの利用権確認 (DCV) 方法」 を参照してください。

DV 証明書オーダーの AuthKey 確認方法を無効にするには、use_auth_key パラメータを、その要求の JSON ペイロードに入れます。例えば:

use_auth_key sample

次のエンドポイントは、use_auth_key パラメータをサポートしています。

即時 DV 証明書発行での AuthKey の使用についての詳細は、「DV 証明書時発行」 を参照してください。デフォルト:

注記:use_auth_key パラメータは、 Encryption Everywhere DV 証明書の要求では無視されます。Encryption Everywhere DV 証明書のすべての要求には、DCV 用の AuthKey 要求トークンが必要です。また、OV と EV SSL 製品は、use_auth_key 要求パラメータをサポートしていません。

new

CertCentral Enterprise:これで複数年プランが利用できます

CertCentral Enterprise で複数年プランが利用できるようになりましたので、お知らせいたします。

DigiCert® 複数年プランでは、最長 6 年の SSL/TLS 証明書カバレッジの単一割引価格を支払うことができます。複数年プランでは、SSL/TLS 証明書、必要なカバレッジ期間(最長 6 年)、および証明書有効期間を選択します。プランの有効期限が切れたとき、有効期間終了になるごとに、無料で証明書を再発行します。

注記:エンタープライスライセンス契約 (ELA) と固定費契約のみ、1年と 2年の複数年プランをサポートします。

2020年9月1日現在、SSL/TLS 証明書の最長有効期間は 397 日です。複数年プランで有効な証明書の有効期限が間もなく切れるとき、SSL/TLS カバレッジを維持するため、証明書を再発行します。

new

パブリック OV と EV フレックス証明書用 ICA 証明書チェーンの選択

フレックス証明書付きパブリック OV と EV 証明書は現在、中間 CA 証明書チェーンの選択をサポートしていることをお知らせいたします。

どの DigiCert ICA 証明書チェーンがパブリック OV および EV "フレックス" 証明書を発行するかを管理できるオプションを CertCentral アカウントに追加することができます。

このオプションでは次のことが可能です。

  • デフォルト ICA 証明書チェーンを各パブリック OV および EV フレックス製品向けに設定します。
  • 証明書要求者がどの ICA 証明書チェーンを使用してフレックス証明書を発行するか管理します。

ICA 証明書チェーンの選択を構成する

お使いのアカウントについて ICA 選択を有効にするには、アカウントマネージャまたは サポートチーム にお問い合わせください。次に、製品設定ページの CertCentral アカウント(左メインメニューで [設定] >[製品設定] の順に進む) で OV と EV フレックス証明書の各タイプについて、デフォルトおよび許可された中間証明書を構成します。

詳細およびステップ別の手順は、「パブリック OV と EV フレックス証明書の ICA 証明書チェーンオプション」 を参照してください。

new

DigiCert Services API は ICA 証明書チェーンの選択をサポート

DigiCert Services API では、お使いの API 統合で ICA 選択をサポートするため、次の更新を行いました。

  • 新規作成済 製品制限エンドポイント
    このエンドポイントを使用して、お使いのアカウントの各管理グループについて有効になった製品の制限と設定に関する情報を取得します。こには、各製品のデフォルトおよび許可された ICA 証明書チェーンの ID 値が含まれます。
  • パブリック TLS OV と EV フレックス証明書オーダー要求への ICA 選択のサポートを追加
    製品について許可された中間証明書を構成した後、API を使用してオーダー要求を提出するときに証明書を発行する ICA 証明書チェーンを選択することができます。
    発行 ICA 証明書の ID をオーダー要求本文の ca_cert_id パラメータ用の値にパスします。

フレックス証明書要求の例:

Example flex certificate request

API 統合の ICA 選択についての詳細は、「OV/EV 証明書の使用期間 – (オプション) ICA 選択」 を参照してください。

new

CertCentral:お使いのアカウントに緊急連絡用メールアドレスを追加する

CertCentral への新しい緊急連絡先オプションを追加したことをお知らせいたします。これらのメールアドレスでは、セキュリティ上の問題、必要な証明書の失効、または業界ガイドラインの変更など緊急を要する場合のすべての通信を受け取ります。

デフォルトでは、CertCentral は、お使いのアカウントにある主要組織の組織連絡先に緊急通知を送信します。お使いの緊急連絡先をお客様が更新するまで、当社ではこれらの通知も、すべてのアカウント通知を受け取るように割り当てられたメールアドレスに送信します。

お使いのアカウントの緊急連絡先を確認し、更新することをお勧めします。この作業には数分かかる場合があります

お使いのアカウントの緊急連絡先を確認し、更新するには:

  1. CertCentral アカウント にサインインします。
  2. 左メインメニューで、[設定] >[通知]の順に進みます。
  3. [すべてのアカウント通知を以下に送信] ボックスの [通知] ページで、すべての緊急通信を受信するメールアドレスを入力します。
  4. 終了したら、「緊急連絡先を確認する」 にチェックを入れます。

「お使いのアカウントに緊急連絡先メールアドレスを追加する」 を参照してください。

new

予約済メンテナンス

2020年10月4日(日) 午前 07:00 ~ 09:00 UTCデジサートは予約済メンテナンスを実施予定です。

どのような影響がありますか?

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。

メンテナンス中、これらのサービスおよび API へのアクセスが影響を受ける可能性があります。

  • CertCentral / Service API
  • Direct Cert ポータル / API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Discovery API
  • ACME
  • ACME エージェント自動化

また、これらのサービスおよび API の証明書が影響を受ける可能性があります。

  • CertCentral / Service API
  • Direct Cert ポータル / API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Complete Website Security (CWS) / API
  • Managed PKI for SSL (MSSL) / API
  • Symantec、GeoTrust、および Thawte Partner Portal / API
  • PKI Platform 7 / PKI Platform 8
  • QV トラストリンク

どのようにしたらよいですか?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。証明書即時発行と自動化タスクのために API を使用する場合、この期間中、中断の発生が見込まれます。

サービスはメンテナンス完了次第、復帰されます。

new

今後の予約済メンテナンス

2020年9月13日(日)午前 7:00 ~ 9:00(UTC),デジサートは予約されたメンテナンスを実施します。

どのような影響がありますか?

予約メンテナンスの一部として、デジサートは新しい専用 IP アドレスを CertCentral メールサーバ、サービスの一部、および API に割り当てます。

影響を受けるサービス:

  • CertCentral メール
  • CertCentral
  • CertCentral Services API
  • 証明書発行サービス (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • API アクセス URL
  • Direct Cert Portal
  • Direct Cert Portal API
  • Discovery センサファイアウォール設定
  • Discovery API
  • ACME
  • ACME エージェント自動化
  • デジサートウェブサイト

詳細および簡易レファレンスについては、「IP アドレス変更のナレッジベース記事」 を参照してください。

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。

デジサートサービスは、メンテナンスが完了次第、再開されます。

どのようにしたらよいですか?

  • 許可リストとメールフィルタを更新する
    デフォルトでは、2020年9月13日、重要なメール を見逃さないようにし、またデジサートと API 統合 が規定どおり作動するようにするため、IP アドレス許可リストとメールフィルタを更新します。
  • メンテナンスに関するタスクを予約する
    規定どおりプランを立て、メンテナンスウインドウ外で高優先度オーダー、更新、s台発行、および複製発行を予約してください。
  • レファレンス
compliance

デジサートは、2年パブリック SSL/TLS 証明書の発行を停止予定です

2020年8月27日 午後 5:59 MDT (午後 11:59 UTC),デジサートは2年パブリック SSL/TLS 証明書の発行を停止し、パブリック SSL/TLS 証明書の最長許可有効期間への業界変更に向けの準備を行う予定です。

8月27日の締切以降、購入できるのは、1 年パブリック SSL/TLS 証明書のみです。

どのような対処が必要ですか?

必要な 2 年パブリック SSL/TLS 証明書を8月27日の締切前に取得できるようにするには:

  • 必要な 2 年証明書-新規と更新のインベントリを確保します。
  • 8月13日前に、必要な 2 年証明書をオーダーします。
  • ドメインと組織認証要求にタイムリーに応答します。

この変更の保留中の証明書おーダー、再発行および複製への影響についての詳細は、「2 年 DV、 OV、および EV パブリック SSL/TLS 証明書の終了」 を参照してください。

DigiCert Services API

DigiCert Services API 利用者の場合、API ワークフローを更新して、8月27日以降に行った要求について新しい最長証明書有効期間 397 日を入れる必要があります。Services API を参照してください。

2020年8月27日以降

8月27日以降、購入できるのは、1 年パブリック SSL/TLS 証明書のみです。ただし、お使いの SSL/TLS カバレッジを最大にするには、DigiCert® 複数年プラン付きの新しい証明書を購入します。「複数年プラン」 を参照してください。

デジサートではなぜ、変更を行うのですか?

2020年9月1日、業界では、2 年証明書を修了します。その後、認証局 (CA) は、最長有効期間 398 日(約13ヵ月)のパブリック DV、OV、 および EV SSL/TLS 証明書のみ発行できます。

デジサートは、タイムゾーン時間差に対応するため、および最長有効期間 398 日の新しい要件を超えるパブリック SSL/TLS 証明書の発行を避けるため、安全策としてすべてのパブリック SSL/TLS 証明書について 397 日の最長有効期間を実施予定です。

1 年パブリック SSL/TLS 証明書への移行についての詳細は当社ブログをご覧ください。1 年パブリックトラスト SSL 証明書:デジサートのヘルプ」 を参照してください。

enhancement

すべてのデジサートパブリック SSL/TLS 証明書で利用可能な DigiCert® 複数年プラン

CertCentral のすべてのパブリック SSL/TLS 証明書で複数年プランが利用できるようになりましたので、お知らせいたします。これらのプランでは、最長 6 年の SSL/TLS 証明書カバレッジの単一割引価格を支払うことができます。

注記:エンタープライスライセンス契約 (ELA) 契約 のみ、1年と 2年の複数年プランのみサポートします。定額なし契約 は複数年プランをサポートしません。定額なし契約を利用する場合、アカウントマネージャに連絡し、お使いの契約に対応するソリューションか確認してください。

複数年プランでは、SSL/TLS 証明書、必要なカバレッジ期間(最長 6 年)、および証明書有効期間を選択します。プランの有効期限が切れたとき、有効期間終了になるごとに、無料で証明書を再発行します。詳細は、複数年プラン を参照してください。

enhancement

DigiCert Services API が複数年プランのサポートに変更

Services API では、パブリック SSL/TLS 証明書を更新し、複数年プランの証明書のオーダーをサポートできるようにしました。

パブリック SSL/TLS 証明書のオーダー向けの各エンドポイントについて、新しい オプション* の要求パラメータを追加しました。また、これらのエンドポイントは、オーダーの有効期間がお使いの証明書の有効期間と一致する必要がないように、更新しました。

  • 新しいオプション cert_validity パラメータ
    このパラメータを使用して、そのオーダーについて発行された最初の証明書の有効期間を低k着します。cert_validity パラメータを要求で省略する場合、お使いの証明書の有効期間は、デジサートと業界基準で許可された最長有効期間、またはそのオーダーの有効期間のいずれか長い方に初期設定されます。
  • 新しいオプション order_validity パラメータ*
    このパラメータを使用して、そのオーダーの有効期間を定義します。オーダーの有効期間で、複数年プラン長が決まります。
  • 更新済トップレベル validity_years,validity_days,custom_expiration_date パラメータ*
    既存の API 統合の場合、これらの既存のパラメータを使用して、そのオーダーの有効期間を定義することもできます。ただし、統合を更新して新しいパラメータを代わりに使用することをお勧めします。複数年プランでは、オーダーの有効期間は、お使いの証明書とは異なりますので、注意してください。

*注意:要求には、order_validityオブジェクト または トップレベル オーダー有効期間パラメーター (validity_years,validity_days,custom_expiration_date を返します。order_validityオブジェクトに入力した値は、トップレベル有効期間パラメーターを無視します。

これらの変更は現在の統合に影響を及ぼすことはありません。ただし、SSL/TLS カバレッジを最大にするため、複数年プランのあるパブリック SSL/TLS 証明書の購入を開始が必要な場合があります。API 統合については、「複数年プランをオーダーする」 を参照してください。

新しいパラメータがある証明書要求の例

Example SSL certificate request with new certificate and order valdity parameters

new

Discovery:スキャン結果からすべての証明書とエンドポイントを削除する

新しい [すべての証明書とエンドポイントを削除する] オプションを追加し、お使いの CertCentral アカウンの Discovery スキャンレコードから証明書とエンドポイント情報を削除することができるようになりました。

スキャン結果からすべての証明書とエンドポイントを削除するには::

  1. CertCentral アカウントで、[Discovery] > [Discovery を管理する] の順に進みます。
  2. [他の操作] ドロップダウンの[スキャンを管理する]ページで、[すべての証明書とエンドポイントを削除する]をクリックします。
  3. [すべての証明書とエンドポイントを削除する]ウインドウで、click [削除する] をクリックします。

証明書とエンドポイントレコードを永久に削除する

証明書とエンドポイント情報をスキャン結果から永久に削除するには、関連する FQDN と IP アドレスもスキャンから削除する必要があります。「スキャンを編集する」 を参照してください。

enhancement

CertCentral Services API:カスタム有効期限日でコードサイニング証明書をオーダーする

CertCentral Services API では、[コードサイニング証明書をオーダーする] エンドポイントを更新し、カスタム有効期限日をサポートできるようにしました。これで、コードサイニング証明書をオーダーする場合、custom_expiration_date 要求パラメータを使用して、証明書が有効期限になる正確な日付を設定することができます。

要求本文の例:

Code signing custom expiration date parameter

new

今後の予約メンテナンス

2020年8月9日(日) 午前 07:00 ~ 09:00 UTCデジサートは予約済メンテナンスを実施予定です。

どのような影響がありますか?

メンテナンス中:

  • CertCentral、CertCentral Service API、Direct Cert Portal、Direct API、および証明書発行サービスは使用できません。
  • デジサートは、デジサートプラットフォームとその対応 API およびレガシー Symantec コンソールとその対応 API を発行することができなくなります。
  • PKI プラットフォームでは、サービス中断が発生する場合もあります。

影響を受けるサービス

以下へのアクセス:

  • CertCentral
  • CertCentral Service API
  • Direct Cert Portal
  • Direct API
  • 証明書発行サービス CIS

以下への証明書発行:

  • CertCentral / Service API
  • 証明書発行サービス (CIS)
  • Complete Website Security (CWS) / API
  • Direct Cert ポータル / API
  • Managed PKI for SSL (MSSL) / API
  • Symantec、GeoTrust、および Thawte Partner Portal

サービスが中断される可能性があるもの:

  • PKI Platform 7
  • PKI Platform 8

サービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

証明書即時発行と自動化タスクのために API を使用する場合、この期間中、中断の発生が見込まれます。

enhancement

CertCentral Services API:さらに多様な失効証明書エンドポイント

CertCentral では、新しい 証明書失効 (API のみ) 設定を追加しました。これで、[証明書を失効にする] エンドポイントを API 統合でどのように作動するかを決定することができます。

  • 個別証明書を失効にする (デフォルト構成)
    • このエンドポイントを使用して、オーダーの単一証明書を失効にすることができます。
    • オーダーは、そのオーダーで証明書の発行を継続できるように、有効のままにします。
    • 返金は行われません。
  • すべての証明書が失効した場合にオーダーを失効にする
    • このエンドポイントを使用して、オーダーの単一証明書を失効にすることができます。
    • また、オーダーのすべての証明書が失効された場合、そのオーダー自体も失効になります。
    • 資格がある場合は、返金が行われます。

オーダーおよびオーダーのすべての証明書を失効にするには、[オーダー証明書を失効にする] を使用します。

CertCentral で証明書失効(API のみ)

これらの新しい失効証明書エンドポイント API 設定を使用するには:

  1. 左メインメニューの CertCentral アカウントで、 [設定] >[選択設定]の順にクリックします。
  2. [管理グループ環境設定]ページで、[詳細設定] を拡張します。
  3. 新しい設定は、証明書失効 (API のみ) 下の 証明書要求 セクションにあります。
new

CertCentral:デジサートは支払送金用銀行口座を変更します

オーダー処理とカスタマーサービスの向上のため、支払送金用銀行口座を変更しました。

どのような対処が必要ですか?

買掛プロセスを更新し、将来の支払いがすべて Bank of America の口座で決済されるようにします。詳細は、「支払情報ナレッジベース記事」 を参照してください。

注記:Symantec、GeoTrust、Thawte、および RapidSSL 証明書を使用するお客様の場合は、以前使用したものと同じ銀行口座になります。

new

有効期限間近の証明書更新通知用の CertCentral 変更メールサーバ IP アドレス

デジサートは更新メール通信のインフラストラクチャをアップグレードします。このアップグレードには、有効期限間近の証明書更新通知を送信するためのメールサーバ IP アドレスが含まれます。

勤務先で許可リストとメールフィルタを使用している場合、有効期限間近の証明書更新メールは、ブロックされるか、名膜メールディレクトリに振り分けられるリスクがあります。

どのような対処が必要ですか?

更新通知を確実に受信するようにするため、許可リストとメールフィルタを更新し、新しい IP アドレスからのメールを許可してください。

詳細は、デジサート更新メールソース IP 変更のナレッジベース記事 を参照してください。質問がある場合は、アカウントマネージャか、サポートチーム にお問い合わせください。

new

これで複数年プランが利用できます

CertCentral と CertCentral Partners で複数年プランが利用できるようになりましたので、お知らせいたします。

DigiCert® 複数年プランでは、最長 6 年の SSL/TLS 証明書カバレッジの単一割引価格を支払うことができます。複数年プランでは、SSL/TLS 証明書、必要なカバレッジ期間(最長 6 年)、および証明書有効期間を選択します。プランの有効期限が切れたとき、有効期間終了になるごとに、無料で証明書を再発行します。

SSL/TLS 証明書の最長有効期間は、2020年9月1日をもって、825 日から 397 日になります。複数年プランで有効な証明書の有効期限が間もなく切れるとき、SSL/TLS カバレッジを維持するため、証明書を再発行します。

compliance

TLS 1.0 と 1.1 のブラウザサポートは終了しました

主要4つのブラウザは現在、トランスポート層セキュリティ (TLS) 1.0 と 1.1 についてサポートしていません。

必要な確認事項

この変更が、お使いのデジサート証明書に影響を及ぼすことはありません。お客様の証明書は、引き続き、通常どおり使用できます。

この変更により、ブラウザ型サービスおよび TLS 1.0 または 1.1 を利用するアプリケーションが影響を受けます。TLS 1.0 または 1.1 に対するブラウザのサポートが終了したため、旧システムでは、HTTPS 接続ができなくなります。

必要な対応方法

この変更の影響を受ける、およびお使いのシステムが TLS プロトコルの最新バージョンを使用している場合は、お使いのサーバ構成をできるかぎり早期に TLS 1.2 または TLS 1.3 にアップグレードしてください。

TLS 1.2 または 1.3 にアップグレードしない場合、お使いのウェブサーバ、システム、またはエージェントは、HTTPS を使用して、証明書と安全に通信できなくなります。

ブラウザ TLS 1.0/1.1 非推奨情報

Firefox 78、2020年6月30日リリース

Safari 13.1、2020年3月24日リリース

Chrome 84、2020年7月21日リリース

Edge v84、2020年7月16日リリース

役立つリソース

TLS を利用する独自システムは多岐にわたるため、すべてのアップグレードパスに対応することはできませんが、以下のレファレンスが役立つと思います。

enhancement

CertCentral Services API:エラーメッセージドキュメントを更新しました

Services API ドキュメントでは、エラー  ページを更新し、以下に関連するエラーメッセージの説明を含めました。

  • 即時 DV 証明書発行
  • ドメイン名の利用権確認(DCV)
  • 認証局認証 (CAA) リソースレコード チェック

今年初頭、DV 証明書オーダーと DCV 要求用の API を改善し、DCV、ファイル認証、DNS ルックアップ、または CAA リソース レコードチェックに失敗した場合に詳細なエラーメッセージが表示されるようにしました。これで、次のエラーメッセージの1つが届いた場合、エラーページで、他のトラブルシューティング情報をチェックできます。

その他詳細:

new

今後の重要メンテナンス

2020年7月19日(日) 午前 07:00 ~ 09:00 UTCデジサートは重要メンテナンスを実施予定です。

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。

デジサートサービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

new

予約メンテナンス

2020年7月12日7:00 ~ 9:00(UTC),デジサートは予約されたメンテナンスを実施します。

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。

デジサートサービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

enhancement

CertCentral Services API:改善したエンドポイント

DigiCert Services API では、下記のエンドポイントを更新し、複製組織チェックをスキップして新しい組織を作成できるようになりました。

デフォルト挙動

デフォルトでは、(組織 ID を入力しないで)新しい組織を作成した場合、複製組織の作成を回避するため、お使いのアカウントにすでにある組織をチェックします。要求で記入した詳細が既存の組織の詳細と一致する場合、新しいオーダーを作成するのではなく、そのオーダーを既存の組織と関連づけます。

新しい組織。skip_duplicate_org_check 要求パラメータ

新しい組織を追加しました。skip_duplicate_org_check 要求パラメータから、挙動を無視し、新しい組織の作成を強行できるように、下記のエンドポイントに移動します。

新しい組織がある要求の例。skip_duplicate_org_check 要求パラメータ

Example API request with the skip_duplicate_org_check parameter

更新済エンドポイント:

new

今後の緊急メンテナンス

2020年6月28日(日) 午前 07:00 ~ 08:00 UTCデジサートは緊急メンテナンスを実施予定です。

どのような影響がありますか?

この間、デジサートは、デジサートプラットフォームと対応する API、レガシー Symantec コンソールおよび対応する API の証明書、即時証明書発行、および自動タスク用 API を使用した証明書向けに証明書を発行することはできません。

緊急メンテナンスの影響:

  • CertCentral / Service API
  • 証明書発行サービス (CIS)
  • Complete Website Security (CWS) / API
  • Direct Cert ポータル / API
  • Managed PKI for SSL (MSSL) / API

サービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

自動化タスクに API を使用する場合、この間は中断することを想定してください。

new

CertCentral:マネージド自動化正規版

自動化ツールの正規版の1つ — マネージド自動化 ー を発表いたします。ベータ期間は終了し、現在生産環境の準備が整っています。

CertCentral マネージド自動化では、お使いの SSL/TLS 証明書の使用期間管理プロセスを自動化できます。これで SSL/TLS 証明書要求とインストールの手動完了に使用する時間が解消されます。

マネージド自動化機能:

  • CertCentral のスケーラブルで中央管理された SSL/TLS 証明書管理
  • CertCentral SSL/TLS 証明書発行プロセスと統合
  • エンド・ツー・エンド SSL/TLS 証明書プロビジョニング:新規、再発行および更新
  • OV と EV SSL/TLS 1年、2年およびカスタム有効期間証明書展開を自動化します。
  • プライベート SSL/TLS 証明書展開:

CertCentral のマネージド自動化

マネージド自動化を開始するには、お使いの CertCentral アカウントで、[自動化を管理する] ページに進みます (左メインメニューで、 [自動化] > [自動化を管理する] の順に進みます)。

詳細は以下のとおりです。

new

CertCentral ACME プロトコルサポート正規版

自動化ツールの正規版の1つ — ACME プロトコルサポート ー を発表いたします。オープンデータは終了し、現在生産環境の準備が整っています。

ACME + CertCentral では、優先 ACME クライアントを利用して SSL/TLS 証明書展開を自動化し、手動の証明書インストールの完了に費やした時間を省きます。

CertCentral ACME プロトコルサポートでお客様は OV と EV SSL/TLS 1年、2年およびカスタム有効期間証明書展開を自動化できます。当社の ACME プロトコルは Signed HTTP Exchange 証明書プロファイルオプションもサポートし、お客様はお使いの Signed HTTP Exchange 証明書展開を自動化することができます。

CertCentral の ACME

CertCentral アカウントの ACME にアクセスするには、ACME ディレクトリ URL ページ (サイドバーメニューで [自動化] >[ACME ディレクトリ URL] の順に進みます。

詳細は以下のとおりです。

enhancement

DigiCert ACME 統合は現在、カスタムフィールドの使用をサポートしています

DigiCert ACME プロトコルは現在、ACME ディレクトリ URL の作成に使用する要求中のカスタムフィールドをサポートしています。

詳細は以下のとおりです。

enhancement

CertCentral:改善したオーダーページ

[オーダー] ページを更新し、有効な証明書が確認しやすくなりました。これで、有効な証明書のリストに更新証明書(更新 ステータスの証明書) が表示されることはなくなります。

更新証明書を見失わないようにするため、[ステータス] ドロップダウン —更新済— に新しいフィルターを追加しました。これで、"更新済" 証明書を確認することができます。

改善した [オーダー] ページを確認するには、,左メインメニューで、[証明書] > [オーダー] の順に進みます。

enhancement

レガシーアカウントを CertCentral にアップグレード:移行した証明書オーダーに更新済のマークを付ける

証明書オーダーをレガシーコンソールから移行して CertCentral で更新する場合、元のオーダーが自動更新されないため更新内容が反映されない場合があります。これらの移行済証明書の管理をしやすくするため、新しいオプション —更新済とマークする を追加しました。

[更新済とマークする] オプションでは、証明書オーダーのステータスを 更新済 に変更できます。また、元の移行済証明書が有効期限間近または有効期限切れの証明書リスト、有効期限間近または有効期限切れの証明書バナーあるいは CertCentral の 有効期限切れ証明書 ページに表示されることはなくなります。

移行済オーダーを更新済とマークする

左メインメニューの CertCentral で、 [証明書] >[オーダー] の順に進みます。証明書オーダーの [有効期限] 列の [オーダー] ページで、[更新済にマーク] をクリックします。

更新済フィルタ

更新済とマークした移行済証明書オーダーを確認しやすくするため、新しいフィルタ —更新済 を追加しました。[ステータス] フィルタドロップダウンの [オーダー] ページで、[更新済] を選択し、[進む] をクリックします。

詳細は、「移行済証明書オーダーを更新済とマークする」 を参照してください。

enhancement

レガシー API の CertCentral Services API へのアップグレード:[オーダーステータスを更新する]エンドポイントの改善

オーダーをレガシーコンソールから移行して CertCentral で更新する場合、元のオーダーが自動更新されないため更新内容が反映されない場合があります。

これらの "更新済" オーダーが、まだ更新が必要なオーダーとあわせて表示されるのを防止するため、新しい値 —更新済ステータス パラメータを [オーダーステータスを更新する] エンドポイントに追加しました。

これで、移行済証明書オーダーが更新された場合、元のオーダーのステータスを手動で変更することができます。

新しいステータスパラメータ付き要求の例

Update order status-endpoint example-request

詳細は、[オーダーステータスを更新する] を参照してください。

new

予約メンテナンス

2020年6月7日7:00 ~ 9:00(UTC),デジサートは予約されたメンテナンスを実施します。

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。

デジサートサービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

enhancement

CertCentral:自動 DCV チェック – DCV ポーリング

ドメインの利用権確認 (DCV) process and addedプロセスを改善し、DNS TXT、DNS CNAME、および HTTP 実際的実証 (FileAuth) DCV 方法の自動チェックを追加したことをお知らせいたします。

これは、お使いのドメインに fileauth.txt ファイルを入れ、ランダム値を DNS TXT または DNS CNAME レコードに追加したら、チェック実行のために CertCentral に自らサインインする煩わしさはなくなるということです。DCV チェックを自動的に実行します。ただし、必要な場合は、手動チェックをすることもできます。

DCV ポーリング ケイデンス

パブリック SSL/TLS 証明書オーダーを提出、事前認証用にドメインを提出、またはドメイン用に DCV 方法を変更した後、DCV ポーリングがすぐに開始され、1週間実行されます。

  • 間隔 1—最初 15 分間は毎分
  • 間隔 2—1時間は5分ごと
  • 間隔 3—4時間は4分ごと
  • 間隔 4—1日は1時間ごと
  • 間隔 5—1週間は4時間ごと*

*間隔 5 以降、チェックは停止します。最初の週の終わりまでに fileauth.txt ファイルをドメインに入れないか、ランダム値を DNS TXT または DNS CNAME レコードに追加しないと、自身でチェックが必要になります。

サポート対象の DCV 方法についての詳細:

enhancement

フレキシブル証明書用の新しい製品設定

証明書オーダープロセスで管理を強化するため、新しい製品設定2つ をフレキシブル証明書サービスに追加しました。

  • 許可される SAN の最大数 (250 を超えることはできません)
  • ワイルドカードを許可します。

現在、フレキシブル OV または EV 証明書オーダーに含まれる SAN の数を制限することができます。また、ユーザーがフレキシブル OV 証明書オーダーにワイルドカードドメインを含めるのを防止することができます。

左メインメニューのフレキシブル証明書製品設定で、[設定] >[製品設定] の順で進みます。

フレキシブル OV と EV 証明書

これらのよりフレキシブルな SSL TLS 証明書により、証明書をお客様ニーズに合わせやすくなります。スタンダード・サーバ Id、スタンダード・サーバ ID EV、セキュア・サーバ ID およびセキュア・サーバ ID EV。これらは以前の基本およびセキュア・サーバ ID 製品に代わるものです。

これらの新しい証明書を CertCentral アカウントについて有効にするには、アカウントマネージャまたは当社の サポートチームにお問い合わせください。

new

デジサート開発者ポータルに新規追加

デジサート開発者ポータルに新たに追加されたことをお伝えします —CT ログモニタリング API.DigiCert API 統合について、これらのエンドポイントを使用して、グローバル・サーバ ID 証明書オーダーに含まれる CT ログモニタリングサービスを管理します。「CT ログモニタリング API」 を参照してください。

CT ログモニタリングサービス

CT ログモニタリングサービスで、お客様はグローバル・サーバ ID 証明書オーダーでドメインに発行された SSL/TLS 証明書のパブリック CT ログをほぼリアルタイムでモニタリングすることができます。

CT ログモニタリングは、クラウドサービスのため、インストールや管理は不要です。グローバル・サーバ ID 証明書を発行し、そのオーダーで CT ログモニタリングを使用した場合、同サービスを使用して、すぐにグローバル・サーバ ID 証明書オーダーのドメインモニタリングを開始することができます。

enhancement

CertCentral Services API:改定オーダーエンドポイント:

DigiCert Services API で、下記のエンドポイントに["[ドメイン ID]"応答パラメータを追加しました。現在、証明書要求にドメイン--新しい、または既存--を追加する場合、応答でドメイン ID を返します。

これで証明書オーダーのドメインにドメイン ID を取得するために必要な API 呼出数が減ります。また、オーダーまたは WHOIS メール再送のドメインの1つ用に DCV 方法を変更するなど、ドメイン関連のタスクをすぐに実行することもできます。

注記:以前は、証明書要求に新しい、または既存のドメインを追加した後、ドメイン ID を取得するため、お客様に別途電話が必要でした。ドメインを一覧表示する または ドメイン情報

[オーダーを更新する」エンドポイント

新しいドメイン ID パラメータ付き応答の例

Order endpoints' example reponse with new domains parameter

enhancement

CertCentral Services API:改善済失効オーダー証明書と失効証明書エンドポイント

DigiCert Services API では、[オーダー証明書を失効にする][証明書を失効にする] エンドポイントを更新し、証明書の失効時、承認ステップをスキップすることができるようになりました。

注記:以前は、承認ステップが必要でしたし、スキップはできませんでした。

新しいオプションパラメータ、"skip_approval": 真,を追加し、オーダーの1つの証明書またはすべての証明書を失効にする為要求を提出する場合、承認ステップをスキップできるようになります。

注記:証明書失効要求について承認スキップが作動するには、API キーに管理者権限が必要です。「認証」 を参照してください。

現在、証明書失効とオーダー証明書失効要求では、承認ステップをスキップしすぐに、デジサートに証明書失効要求を提出することができます。

[証明書を失効にする]と[オーダー証明書を失効にする]エンドポイントの要求の例

Example revoke certificate request with skip_approval parameter

fix

バグ修正:DV 証明書発行メールが証明書形式設定に従っていませんでした

your-domain 用の証明書 メール通知がアカウント設定で指定の形式で証明書を提供しなかった DV 証明書発行プロセスのバグを修正しました。

注記:以前は、すべての DV 証明書発行メール通知に証明書ダウンロードリンクが記載されていました。

現在、DV 証明書オーダーを発行する場合、メールはアカウントの 証明書形式 設定で指定した形式で証明書を提供します。

証明書発行メール用証明書形式を構成する

左メインメニューで、[設定] >[環境設定]の順でクリックします。[管理グループ環境設定] ページで、[詳細設定] を拡張します。[証明書形式] セクションで、証明書形式、添付書類、平文、またはダウンロードリンクを選択します。[設定を保存する]をクリックします。

new

予約メンテナンス

2020年5月3日7:00 ~ 9:00(UTC),デジサートは予約されたメンテナンスを実施します。

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。

デジサートサービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

new

証明書有効期間メール言語環境設定用のアカウント設定

当社では、CertCentral から送信された証明書有効期間メール用にアカウント言語設定を追加しました。これで、[通知]ページで、お客様は、アカウント全体用に証明書有効期間メールの言語環境を設定することができます。

現在、証明書有効期間別メールには、以下の11言語をサポートしています。

  • 英語
  • 中国語(簡体字)
  • 中国語(繁体字)
  • フランス語
  • ドイツ語
  • イタリア語
  • 日本語
  • 韓国語
  • ポルトガル語
  • ロシア語
  • スペイン語

証明書有効期間メール言語サポートはどのようなしくみですか?

CertCentral の [通知]ページに移動し、[メール言語]ドロップダウンから、アカウント全体用の証明書有効期間メール言語を設定します。

例えば、メール言語をイタリア語に設定した場合、個別のアカウント言語設定に関係なく、証明書有効期間メールはすべてイタリア語になります。

注記:[メール言語]オプションで変更されるのは、証明書有効期間メールで使用する言語のみです。個別アカウントで使用される言語は変更されません。[プロファイル設定] ページの [言語] ドロップダウンで、お使いのアカウントの言語を設定します。「CertCentral 言語環境設定」を参照してください。

これらの証明書有効期間設定はどこにありますか?

証明書有効期間メールデフォルト 設定にアクセスするには、左メインメニューで、[設定] >[通知] の順に移動します。詳細は、「証明書有効期間メール設定を構成する」 を参照してください。

new

新しい証明書有効期間メール設定

当社では、証明書有効期間メール設定に別の通知設定 — 組織承認メールをオーダーするユーザーに送信する - を追加しました。この設定により、お客様は、組織承認メールが証明書要求者に送信されたかを管理できます。

組織承認メールとは何ですか?

要求者が管理者または組織連絡先である場合、当社では、デジサートがその組織を認証したこと、およびその証明書を発行できることを伝えるメールを送信します。

注記:この新しい設定は、要求に新しい、未認証の組織が含まれるオーダーにのみ、適用されます。

これらの証明書有効期間設定はどこにありますか?

証明書有効期間メールデフォルト 設定にアクセスするには、左メインメニューで、[設定] >[通知] の順に移動します。詳細は、「証明書有効期間メール受取人を構成する」 を参照してください。

new

Discovery は現在、すべての CertCentral アカウントで利用可能

既存の CertCentral アカウントすべてに、当社最新で最強の証明書確認ツールである Discovery が搭載されたことを発表いたします。

注記:Certificate Inspector,の利用者の場合は、Discovery が当社で長期利用のデジサートツール、Certificate Inspector と交換します。

デフォルトでは、Discovery には、証明書100個の制限付きで、クラウドスキャンとセンサースキャン試用版が含まれています。

クラウドスキャン

クラウドスキャンは無料のクラウドサービスのため、インストールまたは管理するものは何もありません。発行認証局(CA)には関係なく、すぐに お使いのパブリックフェース SSL/TLS 証明書のすべて を探しはじめることができます。クラウドスキャンは24時間ごとに実行されます。

センサースキャン

センサースキャン は、当社で最強バージョンの Discovery です。センサーを使用してお使いのネットワークをスキャンし、発行認証局 (CA) には関係なく、内部およびパブリックフェース SSL/TLS 証明書をすべて探します。Discovery は、証明書構成と実装の問題の特定も、エンドポイント構成での証明書関連の脆弱性および問題点とあわせて行います。

スキャンは、CertCentral アカウント内から中央構成および管理します。スキャン結果は、CertCentral 内の直感的な双方向ダッシュボードに表示されます。スキャンは、構成により、設定スケジュールにあわせて、1回または複数回実行します。

  • センサーのインストールおよび SSL/TLS 証明書ランドスケープのスキャン開始についての詳細は、「Discovery ユーザーガイド を参照してください。
  • 使用期間終了後も引き続き、センサーをスキャンを使用する場合は、アカウントマネージャまたは サポートチーム までお問い合わせください。
new

Discovery 監査ログ

Discovery では、新しい機能 —Discovery 監査ログ を追加し、これによりお客様は、Discovery 関連のアクティビティを CertCentral アカウントでトラッキングできるようになりました。これらの監査ログによりユーザーアクティビティがよく分かるようになり、お客様は、トレーニングが必要な部分を確認し、イベントを再考地区して問題をトラブルシューティングする、誤用を検出および問題部分を確認することができます。

Discovery 監査ログでの情報からソートしやすいようにするため、以下のようないくつかのフィルターを含めました。

  • 日付範囲
  • 管理グループ
  • ユーザー
  • IP アドレス
  • 操作
    (例. センサーを無効化、スキャンを削除、など)

お使いの CertCentral アカウントの Discovery 監査ログにアクセスするには、左メインメニューで、[アカウント] > [監査ログ] の順で移動します。[監査ログ]ページで、[Discovery 監査ログ]をクリックします。

new

Discovery 言語サポート

当社の製品提供を世界に向け展開し、ウェブサイト、プラットフォームおよびドキュメントをよりアクセスしやすくする取り組みの中で、ドキュメント および開発者ポータルでのサポート言語の追加を発表いたします。

これで、CertCentral での言語環境設定を構成する場合、Discovery がその構成の中に含まれます。

言語環境設定を構成する

お使いのアカウントの右端上、 "お客様の名前" ドロップダウンリストで、[マイプロファイル]を選択します。[プロファイル設定] ページの [言語] ドロップダウンリストで、言語の1つを選択し、続いて [変更を保存する]をクリックします。

「CertCentral 言語環境設定」 を参照してください。

fix

バグ修正:DV 証明書オーダーは、[認証用にベースドメインを提出する]アカウント設定を優先しません

DV 証明書オーダーが [認証用にベースドメインを提出する]アカウント設定に従わない、DV 証明書のドメイン名の利用権確認(DCV)プロセスのバグを修正しました。

注記:DV 証明書オーダーについては、オーダーの名前とおりに正確にドメインを認証する必要がありませんでした。

現在、DV 証明書は[認証用にベースドメインを提出する]アカウント設定を優先し、お客様は、お使いの DV 証明書オーダーでベースドメインレベルでサブドメインを認証できるようになります。

お使いのアカウントで、ドメイン認証スコープ設定を表示するには、[設定] >[環境設定]の順に移動します。[管理グループ環境設定]ページで、[+詳細設定] を拡張します。[ドメイン認証スコープ]設定は、[ドメイン名の利用権確認 (DCV)]セクションにあります。

fix

バグ修正:DV 証明書がメール通知に添付されていない

DV 証明書のコピーが 「お使いのドメインの証明書」 メール通知に添付されない、DV 証明書発行プロセスのバグを修正しました。この問題の一時修正として、当社では現在、DV 証明書メール通知に証明書ダウンロードリンクを含めています。

注記:デジサートが証明書を発行した後、お客様の CertCentral アカウントですぐに利用できます。

メールのダウンロードリンクを使用するには、 CertCentral アカウントにアクセスし、証明書オーダーにアクセスする権限が必要です。

メール受取人がそのアカウントまたは証明書オーダーにアクセスできない場合は、CertCentral アカウントから DV 証明書のコピーをメールすることができます。「CertCentral アカウントから DV 証明書へのメール方法」 の対応方法を参照してください。

enhancement

レガシーパートナーアカウントの CertCentral へのアップグレード

DigiCert Service API では、デジサートオーダー ID を更新し、移行したレガシー GeoTrust TLS/SSL 証明書オーダーの対応するデジサートオーダー ID が探しやすくなりました。

これで、GeoTrust オーダー ID* を使用して、お使いの GeoTrust 証明書オーダーのデジサートオーダー ID を使用することができます。また、GeoTrust オーダー ID の使用時、当社ではもっとも最近のデジサート証明書オーダー ID を返します。

*注意:レガシーパートナーアカウントでは、GeoTrust TLS/SSL 証明書オーダーの GeoTrust オーダー ID にアクセスするのみです。

背景

有効作動している、パブリック SSL/TLS 証明書オーダーを新しいアカウントに移行した後、当社では各移行済レガシー SSL/TLS 証明書オーダーに一意のデジサートオーダー ID を割り当てます。

詳細は以下のとおりです。

enhancement

ドメイン改定ページ:DCV 有効期限日とその他

当社ではドメインページを改定し、お客様がお使いのドメイン- OV と EV 認証-のドメイン名の利用権確認 (DCV) がいつ有効期限となるかを確認することが可能になりました。

注記:以前は、ドメインの認証の有効期限がいつかを確認するには、そのドメインの詳細ページに移動する必要がありました。

現在は、[ドメイン]ページ] (左メインメニューで、[証明書] > [ドメイン]の順に移動) に移動したとき、これらの新しい追加事項が確認されます。

  • ソート可能な列が2つあります。OV 有効期限EV 有効期限
    お使いのドメインについて DCV を完了した後、これらの列には、そのドメイン認証の有効期限日が表示されます。ドメイン認証が更新されない場合、有効期限日は1年後に消去されます。
    これらの有効期限日は、ドメイン名の利用権確認 (DCV) が完了した時点から起算されます (OV:825日以上、13ヵ月以上)。
  • 認証ステータス]ドロップダウンに4つの新しいフィルター
    • 有効期限が切れた OV
    • 有効期限が切れた EV
    • OV 有効期限切れ間近*
    • EV 有効期限切れ間近*
  • 警告アイコン
    認証の有効期限が切れた場合、"有効期限" 日の横に警告アイコンが表示されます。

*注意:これらのフィルターには、その後 30 日で有効期限となるドメイン認証が表示されます。

enhancement

ドメイン詳細改定ページ:DCV 有効期限日とその他

当社ではドメイン詳細ページを改定し、お客様がお使いのドメイン- OV と EV 認証-のドメイン名の利用権確認 (DCV) がいつ有効期限となるかを確認することが可能になりました。

これで、[ドメイン認証]下のドメインの詳細ページに移動すると、,新しいサブセクション、認証ステータス が表示され、,そのドメインの OV と EV 証明書ドメイン認証の有効期限がいつ切れるかが表示されます*。また、当社では、認証がいつ有効期限切れとなったかが分かりやすくするため、警告アイコンを追加しました。

*注意:これら有効期限日は、ドメイン名の利用権確認 (DCV) 完了した時点から起算されます (OV:825日以上、13ヵ月以上)。

new

「新しい機能:再認証用に随時ドメインを提出する

ドメイン詳細ページでは、新しい機能を追加し、そのドメイン名の利用権確認 (DCV) の有効期限が切れる前に、再認証用にドメインを提出できるようになりました。これで、再認証用に随時、ドメインを提出でき、お客様はドメインの認証を早期に完了し、そのドメインについて継続的な証明書発行が可能になります。

これで、[ドメイン認証]下のドメインの詳細ページに移動すると、,新しいサブセクション、認証用に提出する が表示されます。ドメインの認証が有効期限切れになる前に、お客様は認証用に再提出し、ドメイン名の利用権を確認するための DCV 方法を選択することができます。「ドメインの事前認証:有効期限が切れる前に、お使いのドメインを再認証する」 を参照してください。

現在の認証のドメインについては、緑色のチェックマークが付き、そのドメインの認証がまだ有効であり、またその証明書をオーダーするときに使用できることが表示されます。ただし、メッセージが表示され、ドメインは再認証保留中であることを知らせるメッセージも表示されます。DCV を完了すると、有効期限日は変更され、保留中の再認証メッセージが消えます。

new

予約メンテナンス

2020年4月5日7:00 ~ 9:00(UTC),デジサートは予約されたメンテナンスを実施します。

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。

デジサートサービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

new

高優先度サービスプロバイダー メンテナンス: 4月5日午前 6:00 ~ 8:00 UTC

4月3日(金)、デジサートはデータセンタープロバイダーより、4月5日(日) 午前6:00 ~ 8:00 UTC に高優先度のメンテナンスをいくつか実施する旨通知を受けています。

どのような影響がありますか?

このメンテナンスウインドウにより影響を受けるのは、レガシー Symantec Website Security、Thawte、GeoTrust, および RapidSSL の顧客のみです。

この時間帯は、Symantec、GeoTrust、Thawte および RapidSSL コンソール、関連 API、および証明書発行が影響を受ける場合があります。

サービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

  • デジサート 2020 予約メンテナンス
    このページは、すべてのメンテナンススケジュール情報が記載され、常に最新に更新されています。
  • デジサートステータス
    リアルタイムで更新するには、デジサートステータスページを購読設定してください。
compliance

Microsoft は、サードパーティのカーネルモードドライバーパッケージの電子署名についてサポートを停止予定です。

カーネルモードドライバーパッケージの署名プロセスは変化しています。2021年以降、Microsoft は、生産カーネルモードコード署名について唯一のプロバイダーになります。Microsoft による、新しいカーネルモードドライバーパッケージの署名の最新方法に今後、従っていく必要が出てくるでしょう。「ハードウェア用パートナーセンター」 を参照してください。

デジサートはこの変更について、どのように対応しますか?

この終了プロセスの第一ステップとして、デジサートでは、コード署名証明書要求フォーム-新規、再発行および更新-から Microsoft カーネルモードコードプラットフォームオプションを削除しました。

すなわち、今後、お客様あカーネルモードプラットフォームについてコード署名証明書をオーダー、再発行または更新できなくなります。

これは既存のカーネルモードコード署名証明書にどのように影響しますか?

お客様は、チェーン付けされたクロス署名済ルートが有効期限切れとなるまで、既存の証明書を使用して、カーネルモードドライバーパッケージを引き続き使用することができます。デジサートブランドのクロス署名ルート証明書は 2021年で有効期限が切れます。

詳細な技術記事 「カーネルモード署名機能付きクロス署名ルーツ証明書の Microsoft によるサポートの終了」 を参照してください。

compliance

TLS 1.0 と 1.1 のブラウザサポートが終了

2020年、主要4つのブラウザがトランスポート層セキュリティ (TLS) 1.0 と 1.1 についてサポートを終了します。

この変更が、お使いのデジサート証明書に影響を及ぼすことはありません。お客様の証明書は、引き続き、通常どおり使用できます。

必要な確認事項

この変更により、ブラウザ型サービスおよび TLS 1.0 または 1.1 を利用するアプリケーションが影響を受けます。TLS 1.0 または 1.1 に対するブラウザのサポートが終了すると、これらの旧システムでは、HTTPS 接続ができなくなります。

必要な対応方法

お客様がこの変更による影響を受ける場合は、今すぐ TLS 1.2 または TLS 1.3 を有効にするか、アップグレードしてください。問題発生前に、余裕をもって対応してください。開始する前に、TLS 1.0 または 1.1 を使用する可能性がある、すべてのシステムを必ず、特定してください。

Apache や Microsoft IIS、.NET Framework、サーバモニタリングエージェントなどのウェブサーバ、およびその他それを使用するコマースアプリケーションを忘れずに必ず、チェックしてください。

役立つリソース

TLS を利用するシステムは多岐にわたるため、利用可能なアップグレードパスをすべてに対応することはできませんが、以下のレファレンスが役立つと思います。

enhancement

[ドメインの詳細]ページを更新する

当社では、[ドメインの詳細]ページのドメイン認証セクションを、有効期限日を記載した2つの認証タイプのみを表示するように、簡素化しました。OV と EVまた、ドメイン名の利用権確認 (DCV) の完了時から起算したドメイン認証有効期限日を表示するように、ページを更新しました (OV:825日以上、13ヵ月以上)。

注記:以前は、他の認証タイプは最大で、以下の2つのみ表示可能でした。グリッドとプライベートグリッド証明書の有効期間は OV と同じ825日です。これらの証明書はパブリックトラストがないため、プライベート証明書にドメイン認証は不要です。

ドメインの認証の有効期限日を表示するには、左メインメニューで、[証明書] >[ドメイン]の順で移動します。[ドメイン]ページで、当該のドメインを探し、[ドメイン名] リンクをクリックします。[ドメインの詳細]ページの[ドメイン認証]下で、,ドメイン認証と有効期限はいつかを表示します。

enhancement

CertCentral Services API:[ドメインとドメイン情報を一覧表示する]エンドポイントを改定

DigiCert Services API で、[ドメインを一覧表示する]と[ドメイン情報]エンドポイントを更新し、お客様がドメインについてドメイン名の利用権確認 (DCV) がいつ有効期限切れとなるかを確認できるようになりました。OV と EV 認証この新しい情報は、URL クエリ文字列 include_validation=true を含める場合のみ、返されます。

これにより、特定ドメインについてすべてのドメインまたは情報のリストを取得し、URL クエリ文字列 include_validation=true を含めた場合、,そのドメインについて DCV がいつ有効期限切れになるかを確認することができます。

URL クエリ文字列付き要求の例:

応答例 – ドメイン名の利用権確認 (DCV) 有効期限日

Example response with DCV expiration dates

fix

[ドメイン]ページの削除済 "保留中" 列

当社では、[ドメイン]ページに、ドメインの保留中認証に関する当社よりの正確な情報提供を妨害するバグを確認しました。一時的措置として、当社は正式修正の実施が可能になるまで、同ページから 保留中 列を削除すことにしています。

ドメインの保留中認証の有無を表示するには、左メインメニューで、[証明書] >[ドメイン]の順に移動します。[ドメイン]ページで、当該のドメインを探し、[ドメイン名 ]リンクをクリックします。[ドメインの詳細]ページの[ドメイン認証]下で、,ドメインの保留んか認証の有無をチェックして確認します。OV と EV

new

予約メンテナンス

2020年3月8日8:00 ~ 10:00(UTC),デジサートは予約されたメンテナンスを実施します。お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。デジサートサービスは、メンテナンスが完了次第、再開されます。

お客様側での対応は?

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

enhancement

EV コード署名証明書再発行での署名ハッシュオプション

拡張認証 (EV) コード署名再発行プロセスを更新しました。これにより、EV コード署名証明書の再発行時、お客様は証明書について、以下の署名ハッシュを選択することができます。SHA-256 または SHA-1.

詳細は、「EV コード署名証明書を再発行する、またはキーを変更する」 方法を参照してください。

2月 28, 2020

enhancement

CertCentral Services API:改定レート制限

DigiCert Services API で、要求レート制限を改定しました。これにより、5分ごとに1000件の要求のレート制限を実行します。,また、急激な多量の要求から保護するため、および乱用を防止するため、5秒ごとに100件の要求という短期のレート制限も実行ます*。

*注意:要求数がレート制限を超えた場合、API アクセスは一時的にブロックされ、すべての要求について「"サービスは利用できません。要求量を制限してください」" メッセージとあわせて、429 HTTP ステータスコード (request_limit_exceeded) を返されます。

詳細は、「レート制限」.を参照してください。

fix

"非表示の" 組織が証明書要求フォームを開くのを妨害する CertCentral のバグを修正しました。この問題の解決のため、当社は今後、証明書要求フォームの利用可能な組織リストに、隠れた組織を含めることはしません。

"非表示の" 組織を証明書要求に追加する場合は、どうしたらよいですか?

"非表示の" 組織を証明書要求フォームの利用可能な組織リストに含めるには、非表示解除にするだけです。

  1. 左メインメニューで、[証明書] >[組織]の順で移動します。
  2. 組織]ページで、,[非表示の組織]ドロップダウンから [表示]を選択し、続いて [進む]をクリックします。
  3. 非表示解除する組織をクリックします。.
  4. 組織の詳細]ページで、,[非表示解除 ]をクリックします。

次回証明書オーダー時、証明書要求フォームの利用可能な組織リストに組織が表示されます。

注記:この変更が影響するのは、CertCentral ユーザーインターフェイス (UI) のみです。API は "非表示の" 組織のお客様の要求への追加をサポートしており、お客様は、証明書要求に追加するため、その組織を非表示を解除する必要がありません。

new

レガシーアカウントを CertCentral にアップグレード

DigiCert Service API では、新しいエンドポイント —デジサートオーダー ID— を追加し、移行したレガシー Symantec オーダーの対応するデジサートオーダー ID が探しやすくなりました。

有効作動している、パブリック SSL/TLS 証明書オーダーを新しいアカウントに移行した後、当社では各移行済レガシー Symantec SSL/TLS 証明書オーダーに一意のデジサートオーダー ID を割り当てます。

要求例

GET https://www.digicert.com/services/v2/oem-migration/{{symc_order_id}}/order-id

応答例
200 OK

Example response for Digicert order ID endpoint

詳細は以下のとおりです。

new

レガシーアカウントアップグレード 2.0

認証済ドメインと有効作動している、パブリック SSL/TLS 証明書は現在、お使いのレガシーコンソール CertCentral へのアップグレード時のデータ移行に含まれることを発表いたします。「アカウントデータ移行について確認が必要なこと」を参照してください。

このリリースでは、レガシーコンソールの CertCentral へのフェーズごとのアップグレードを開始します。アップグレード基準は、会社規模、通貨環境、および機能の使用状況によって異なります。

注記:CertCentral アップグレードは 無料です。今すぐアップグレードに興味がある場合は、当社のアカウントマネージャか、サポートチーム にお問い合わせください。

コンソールへのサインイン時にお使いのレガシーアカウントがフェース1基準に対応している場合は、CertCentral へのアップグレードオプションを参照してください。アップグレード時、当社はお客様の組織と認証済ドメインをお客様の CertCentral アカウントに移行します。続いて、準備が整った時点で、お客様は有効作動している、パブリック SSL/TLS 証明書をインポートすることができます。

CertCentral へのアップグレードおよびデータ移行についての詳細は、「CertCentral へのアップグレードガイド」 を参照してください。

他のタイプの証明書

プライベート SSL、コード署名、S/Mime および他のタイプの証明書は、この時点ではインポートできません。プライベート SSL/TLS および SSL/TLS 以外の証明書は、個別移行作業の一部になります。

new

予約メンテナンス

2020年2月9日8:00 ~ 10:00(UTC),デジサートは予約されたメンテナンスを実施します。

お客様のサービスを保護するため、冗長的な部分がありますが、この期間中、デジサートサービスが一部利用できないものがあります。デジサートサービスは、メンテナンスが完了次第、再開されます。

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

「デジサート 2020 予約メンテナンス」 を参照してください。このページには、すべてのメンテナンススケジュール情報が記載され、常に最新に更新されています。

new

DigiCert Services API では、新しく、よりフレキシブルな基本およびセキュア・サーバ ID SSL/TLS 証明書をオーダーするための新しい4つのエンドポイントを追加しました。これらの SSL/TLS 証明書がさらにフレキシブルなったことで、証明書をお客様のニーズに合わせやすくなり、その結果、古い基本およびセキュア・サーバ ID 製品が入れ替わります。

これらのエンドポイントを使用して、新しいオーダーと更新オーダーのみを行います。これらを使用して既存の基本およびセキュア・サーバ ID 証明書オーダーを変換することはできません。

これらの新しい証明書を CertCentral アカウントについて有効にするには、アカウントマネージャまたは当社の サポートチームにお問い合わせください。

フレキシブル OV と EV 証明書

これらの証明書は、お客様がデジサートSSL/TLS 証明書で得られる暗号化と認証に対応し、同時に、お客様ニースに合わせるためにどのドメインとワイルドカードドメイン* との組み合わせが必要な場合も、OV と EV 証明書を構築することができます。

*注意:業界基準では、OV SSL/TLS 証明書のワイルドカードドメインのみサポートされています。EV SSL/TLS 証明書では、ワイルドカードドメインの使用はサポートされていません。

new

現在 CertCentral では以下の4つの新しい製品が利用できることを発表いたします。

  • スタンダード・サーバ ID
  • スタンダード・サーバ ID EV
  • セキュア・サーバID
  • セキュア・サーバID EV

これらの SSL/TLS 証明書がさらにフレキシブルなったことで、証明書をお客様のニーズに合わせやすくなり、その結果、古い基本およびセキュア・サーバ ID 製品が入れ替わります。これらの新しい証明書を CertCentral アカウントについて有効にするには、アカウントマネージャまたは当社の サポートチームにお問い合わせください。

フレキシブルな基本および OV と EV 証明書

これらの証明書は、お客様がデジサートSSL/TLS 証明書で得られる暗号化と認証に対応し、同時に、お客様ニースに合わせるためにどのドメインとワイルドカードドメイン* との組み合わせが必要な場合も、OV と EV 証明書を構築することができます。

*注記:ワイルドカードドメインのみ OV SSL/TLS 証明書に含めることができます。EV SSL/TLS 証明書では、ワイルドカードドメインの使用はサポートされていません。

フレキシブルなセキュア・サーバ ID OV と EV 証明書

これらの証明書には、スタンダード・サーバ ID と EV 証明書と同じ機能が含まれています。加えて、すべてのセキュア・サーバ ID 証明書にあるメリットが受けられます。

  • 優先認証
  • 優先サポート
  • 2つのプレミアムサイトシール
  • マルウェアチェック
  • 業界最高の保障
fix

CertCentral Services API:証明書失効を修正 エンドポイントバグ

DigiCert Services API で、オーダーの単一証明書の失効要求がそのオーダーのすべての証明書について提出される、[証明書を失効にする]エンドポイントのバグを修正しました。

注記:"単一証明書" 失効要求の提出後、当社は、オーダーの証明書すべてを失効にする要求詳細付き 201 作成済 応答を返しています。

現在、[証明書を失効にする]エンドポイントを使用して、オーダーの単一証明書を失効にする要求を提出した場合、オーダーのその証明書のみを失効にする要求詳細付き 201 作成済 応答を返します。

30日間の返金保証

証明書を失効にする]エンドポイントは、オーダーの1つの証明書を失効にしますが、オーダー自体を失効にすることはありません。当社の[30日間の返金保証]は、1つのオーダーに紐づけされていますが、そのオーダーの1つの "証明書" には紐づけされていません。30日間の返金保証を得るには、最初の30日以内にそのオーダーを失効にする必要があります。「オーダー証明書を失効にする」 を参照してください。

証明書失効プロセス

失効要求はすべて、Services API 経由で行ったものを含め、デジサートがその証明書を失効にする前に、 管理者が承認 しなければなりません。この承認ステップは必須のため、証明書失効プロセスからスキップしたり、削除したりできません。

「*証明書を失効にするエンドポイントについて確認が必要なこと」を参照してください。

このエンドポイントは、1つのオーダーの証明書を失効にするのが目的です。これで証明書オーダーが失効になることはありません。

証明書が1つしかないオーダーで1つの証明書を失効にする場合:

  • オーダーはまだ有効です
  • 失効した証明書には返金は行われません。
  • そのオーダーでの証明書の再発行はまだ可能です。

そのオーダーで証明書を再発行する予定がない場合は、[オーダー証明書を失効にする]エンドポイントを使用して、そのオーダーを失効にします。

new

Discovery:確認された証明書更新通知のアカウント設定

Discovery では、新しいアカウント設定、「確認された証明書更新通知をオンにする」を追加し、,お客様が、有効期限が近い、"確認された" SSL/TLS 証明書の更新通知を受け取ることはなくなります。これらの更新通知には、当社との SSL/TLS 証明書の更新オプションが含まれます。CertCentral の "確認済" SSL/TLS 証明書を更新すると、同等のデジサート証明書と交換します。

デフォルトでは、確認された証明書の更新通知は、CertCentral アカウントについてについてはオフになっています*。有効期限が近い、確認証明書の更新通知の受け取りを開始するには、[設定] >[環境設定] の順に移動します。[証明書更新設定] セクションで、[確認された更新通知をオンにする]にチェックを入れます。

*注意:新しい設定で開始する場合、お使いのアカウントで Discovery 更新通知をオンに戻す必要がある場合があります。

詳細は、「Discovery 更新通知」 を参照してください。

enhancement

CertCentral Services API:認証用に提出するエンドポイントを改定

DigiCert Services API では、[認証用に提出する] エンドポイントを更新し、お客様が再認証用にドメインを、有効期限が切れる前に提出できるようになりました。これで、再認証用に随時、ドメインを提出でき、お客様はドメインの認証を早期に完了し、そのドメインについて継続的な証明書発行が可能になります。

注記:ドメインの再認証が保留状態のまま、お客様がドメインの証明書をオーダーする場合、当社ではそのドメインの現在の認証を使用して、証明書を発行します。

新しい要求パラメータ:dcv_method

新しい要求パラメータ、dcv_method* も追加しました。これで、認証用にドメインを提出する場合、ドメイン名の利用権を確認するのに使用する DCV 方法を変更することができます。

*注意:この新しいパラメータは任意です。新しいパラメータ要求外にした場合、当社ではコンテンツなしで 204 応答を返します。ドメイン名の利用権を確認するには、以前使用したのと同じ DCV 方法を使用する必要があります。

新しいパラメータ付き要求の例
POST https://www.digicert.com/services/v2/domain/{{domain_id}}/validation

Submit for validation endpoint example request

新しいパラメータが要求に含まれる場合の例
201 作成済

Submit for validation endpoint example response

enhancement

CertCentral Services API:改定オーダーエンドポイント:

DigiCert Services API で、下記のエンドポイントに["組織 ID"]応答パラメータを追加しました。これで、証明書要求に新しい組織を追加する場合、当社では、応答中に組織 ID を返し、お客様は、証明書要求ですぐに組織を使用することができます。

以前は、証明書要求に新しい組織を追加した後、新しい組織の組織 ID を取得するため、お客様に別途電話が必要でした。オーダー情報.

更新済オーダーエンドポイント:

新しい組織 ID パラメータ付き応答の例

Example response with new organization ID parameter

enhancement

ドキュメントおよび開発者ポータルで11言語をサポート

当社の製品提供を世界に向け展開し、ウェブサイト、プラットフォームおよびドキュメントをよりアクセスしやすくする取り組みの中で、ドキュメント および 開発者 ポータルでのサポート言語を追加しました。

現在サポート可能なのは以下の11言語です。

  • 英語
  • 中国語(簡体字)
  • 中国語(繁体字)
  • フランス語
  • ドイツ語
  • イタリア語
  • 日本語
  • 韓国語
  • ポルトガル語
  • ロシア語
  • スペイン語

言語サポートはどのようなしくみですか?

お客様がポータルを訪問するとき、言語 (地球儀アイコン) を使用して、ポータル表示言語を変更します。お客様が選択した言語は30日間保存されるため、お客様は当社のドキュメントサイトを訪問するごとに言語を選択し直す必要はありません。

ヒントと注意点

ドキュメントおよび開発者ポータルへのアクセス

デジサートウェブサイトおよび CertCentral からドキュメントおよび開発者ポータルにアクセスできます。

  • トップメニュー
    digicert.com から,[サポート]上にマウスを乗せます。[リソース]で、,[ドキュメント]および[API ドキュメント]リンクがあります。
  • ヘルプメニュー
    ] の [CertCentral]で、,[開始する.
    ] を選択します。[API キー]ページで、,[API ドキュメント] をクリックします。左メインメニューで、[自動化] >[API キー]の順でクリックします。

ドキュメント内にリンクを作成する

ドキュメント内のセクションにリンクを貼ることができます。

ドキュメントページで、リンク先のサブヘッダーにマウスを当て、[ハッシュタグアイコン] (#) をクリックします。これで、ブラウザのアドレスバーに URL が作成されます。

この機能を使用して、方法説明に記載の個別セクションをブックマークするか、リンクを貼ることができます。

enhancement

CertCentral Services API:改定オーダードキュメントサイニング - 組織 (2000) および (5000) エンドポイント:

DigiCert Services API では、ドキュメントサイニング - 組織 (2000) および (5000) 証明書のオーダー用[オーダードキュメントサイニング証明書]エンドポイントを更新しました。新しいパラメータ、"use_org_as_common_name": trueを追加し、,お客様が組織名を証明書のコモンネームとして使用することが可能となりました。

注記:以前は、個人のフルネームをドキュメントサイニング組織証明書のコモンネームとして使用するオプションしかありませんでした。

現在は、組織名をドキュメントサイニング組織証明書のコモンネームとして使用する場合、"use_org_as_common_name": true パラメータをお使いの証明書要求に追加します。証明書を発行する場合、組織名がその証明書のコモンネームになります。

  • ドキュメントサイニング - 組織 (2000) エンドポイント: https://www.digicert.com/services/v2/order/certificate/document_signing_org_1
  • ドキュメントサイニング - 組織 (5000) エンドポイント: https://www.digicert.com/services/v2/order/certificate/document_signing_org_2

[ドキュメントサイニング証明書をオーダーする]エンドポイントの要求例

Example Document Signing Organization certificate request

new

新しい証明書プロファイルオプション

当社では、新しい証明書プロファイルオプション、データ暗号化 を追加しました。これにより、,データ暗号化キー使用拡張子を OV と EV SSL/TLS 証明書に含めることができます。お使いのアカウントについて有効にした場合、[データ暗号化拡張子を証明書に含める] オプションが、[追加証明書オプション] 下の SSL/TLS 証明書要求フォームに表示されます。

お使いのアカウントで証明書プロファイルを有効にするには、アカウントマネージャに連絡するか、当社のサポートにお問い合わせください

他の利用可能な証明書オプション

  • Intel vPro EKU
  • KDC/SmartCardLogon EKU
  • HTTP Signed Exchange
  • Delegated Credentials
  • OCSP Must-Staple

これらのサポート対象の証明書プロファイルオプションについての詳細は、「証明書プロファイルオプション」 を参照してください。

new

新しい証明書オーダーメール設定

当社では、新しいアカウント通知設定をいくつか —証明書有効期間メールデフォルトを追加しました。

  • 組織連絡先にメールと送信する
  • 技術連絡先にメールを送信する
  • オーダーするユーザーにメールを送信する*

これらの新しい設定では、お客様は証明書オーダーメールにデフォルトアカウント設定を修正することができます。これで、組織および技術連絡先に証明書オーダーメールを送信することができます。また、証明書要求者をフローkら削除することもできます。

注意*:デフォルトでは、オーダーするユーザーは、証明書オーダーメールを受け取ります。

CertCentral は、各オーダーについて、以下のメールを送信します。

  • 新しい、更新、再発行、および複製オーダー向けに発行された証明書
  • 更新通知

証明書有効期間メールデフォルト 設定にアクセスするには、左メインメニューで、[設定] >[通知] の順に移動します。詳細は、「証明書有効期間メール受取人を構成する」 を参照してください。

new

Discovery クラウドスキャンサービス

当社では、クラウドベースのセンサーを使用して、発行認証局(CA)には関係なく、お使いのパブリックフェース SSL/TLS 証明書を探す、新しい機能をDiscovery —クラウドスキャンサービス— に追加しました。

Discovery クラウドスキャンは無料のクラウドサービスのため、インストールまたは管理するものは何もありません。スキャンをすぐに開始し、パブリック SSL/TLS 証明書を探すことができます。実行できるクラウドベースのスキャン数に制限はありません。

クラウドスキャンは24時間ごとに実行され、もっとも最近保存されたスキャン設定を利用します。スキャンにより、見つかった証明書およびそれらの証明書がインストールされているエンドポイントについての詳細情報が得られます。

注記:これはクラウドスキャンサービス用のオープンベータです。

開始するには、左メインメニューのお使いの CertCentral アカウントで、[Discovery] >[Discovery を管理する]の順に移動します。[スキャンを管理する]ページで、[単回クラウドスキャン] をクリックします。詳細は、「Discovery クラウドスキャンサービス」 を参照してください。

new

CT ログモニタリング

グローバル・サーバ ID 証明書 には CT ログモニタリングサービスへのアクセスが付いていることを発表いたします。CT ログモニタリングサービスで、お客様はグローバル・サーバ ID 証明書オーダーでドメインに発行された SSL/TLS 証明書のパブリック CT ログをリアルタイムでモニタリングすることができます。

CT ログモニタリングはクラウドサービスのため、インストールまたは管理するものは何もありません。当社よりグローバル・サーバ ID 証明書を発行しオーダーについて CT ログモニタリングをオンにした後、証明書オーダーのドメインをこのサービスを使用して、すぐにモニタリングを開始できます。

グローバル・サーバ ID 証明書の CT ログモニタリングのメリットには遡及作用があります。発行済および有効作動しているグローバル・サーバ ID 証明書オーダーの CT ログモニタリングへのアクセスは、アカウントマネージャか、サポートチーム にお問い合わせください。

CT ログモニタリングにより以下についてお客様をサポート

  • パブリック CT ログに対するグローバルモニタリングとトラッキングにより、ドメインに発行された SSL/TLS 証明書の視認性を上げる。
  • デジサートとデジサート以外の発行証明書に対するチェックを自動にすることで、ログのモニタリングに必要な時間と手間を省く。
  • お使いのドメインが発行したすべての証明書が信頼できるものであることを確認し、どの認証局が各証明書を発行したかを完全監視します。

本サービスは、確認された SSL/TLS 証明書を CertCentral アカウントに引き出し、そこで、証明書の詳細を表示することで、ドメインに対する誤発行証明書を速やかに特定します。デジサート以外の証明書のコピーをお使いの CertCentral アカウントからダウンロードすることもできます。

メール通知

グローバル・サーバ ID 証明書オーダーについて CT ログモニタリングを有効にした後、以下の2つのタイプのメール通知がお客様に届きます。日次 CT ログダイジェストと、必要な場合、至急通知。メール通知はアカウント管理者に送信され、 同管理者は毎日 CertCentral アカウントにサインインすることなく、ドメインの CT ログをチェックできます。

  • 日次 CT ログダイジェスト
    1日1回実施するように予約されており、このダイジェストには、パブリック CT ログに見つかった、新しいデジサート発行の SSL/TLS 証明書の日次数が含まれます。日次ダイジェストは、 新しいデジサート発行の証明書が確認された場合のみ、送信されます。
  • 至急 CT ログ通知
    この至急ログ通知は、デジサート以外の SSL/TLS 以外の証明書が、グローバル・サーバ ID 証明書オーダーのドメインに発行されたときは、数分以内に送信されます。

各グローバル・サーバ ID 証明書の収録内容についての詳細は、「Pro TLS/SSL 証明書」 を参照してください。グローバル・サーバ ID 証明書オーダーの CT ログモニタリングを有効にすることに関する詳細は、「CT ログモニタリングを有効にする」 を参照してください。

enhancement

クライアント証明書プロセスを改善

当社では、クライアント証明書プロセスを改定し、お客様が 受取人にメール済 状態 — メール受取人が サポート対象のブラウザ の1つでクライアント証明書の生成とインストールを待機中であるオーダーで、クライアント証明書オーダーをキャンセルすることができます。

注記:以前は、クライアント証明書が 受取人にメール済 状態にある場合、オーダーのキャンセルのため、サポートへの連絡が必要でした。

現在は、受取人にメール済 状態でクライアント証明書オーダーをキャンセルする必要がある場合、クライアント証明書のオーダー詳細ページに移動し、証明書操作 ドロップダウンリストで、[オーダーをキャンセルする]を選択します。「保留中のクライアント証明書オーダーをキャンセルする」を参照してください。

enhancement

CertCentral Services API:クライアント証明書プロセスの改善
DigiCert Services API で、オーダーステータスを更新する エンドポイントを更新し、お客様が waiting_pickup 状態のクライアント証明書オーダー — メール受取人が サポート対象のブラウザの1つでクライアント証明書を生成およびインストールするのを待機中のオーダー
をキャンセルすることができます。

注記:以前は、クライアント証明書が waiting_pickup 状態にある場合、「閲覧禁止」エラーが表示され、オーダーのキャンセルのため、サポートへの連絡が必要でした。

現在は、オーダーステータスを更新する エンドポイントを使用して、waiting_pickup 状態でクライアント証明書オーダーをキャンセルすることができます。

new

CertCentral:デフォルト挙動の変更

デフォルトでは、CSR に含まれる組織部門情報を使用して、組織部門 値を OV/EV SSL 証明書要求フォームに自動記入することができます。これらの証明書のオーダー時、組織部門情報を手動で追加することもできます。

注記:組織部門 (OU) 情報は、OV/EV SSL 証明書の購入には必要ありません。また、OU 情報を証明書要求に含める場合、追加認証が必要です。これにより、組織とドメインが事前認証した要求に対する場合を含め、証明書発行が遅延される場合があります。

new

CertCentral:新しいアカウント設定 (エンタープライズとパートナー)

CertCentral エンタープライズとパートナーアカウントでは、新しいアカウント設定 —OU フィールドに自動記入する を追加しました。このオプションでは、CSR に含まれる組織部門情報を使用して、組織部門 値を OV/EV SSL 証明書要求フォームに自動記入することができます。

注記:エンタープライズとパートナーアカウントには、アカウントタイプを識別する以下のロゴがあります。エンタープライズロゴ または パートナーロゴ.

左メインメニューで、[設定] >[環境設定]の順でクリックします。[管理グループ環境設定]ページでは、新しい設定は、[証明書要求]下の [詳細設定]セクションにあります。「組織部門フィールドに自動記入する」 方法を参照してください。

new

Discovery:デジサートSSL/TLS 以外の証明書の更新通知

Discovery で、デジサート以外の証明書用の更新通知を追加し、すべての SSL/TLS 証明書を1か所の CertCentral で管理しやすくなりました。これにより、Discovery がデジサート以外の証明書を確認した場合、当社より、発行認証局 (CA) には関係なく、これらの証明書に対して更新通知を送信します。

注記:CertCentral のデジサート以外の SSL/TLS 証明書を更新すると、同等のデジサート証明書と交換します。例えば、デジサート以外のシングルドメイン SSL 証明書をデジサートシングルドメイン SSL 証明書 と交換します。

これらの更新通知を誰が受け取りますか?

デフォルトでは、Discovery は、デジサート以外の SSL/TLS 証明書の更新通知をプライマリ CertCentral 管理者 — アカウントを作成し、すべてのアカウント通知を受け取る者に送信します。

当社では、アカウント通知を受け取るように割り当てられた追加メールアドレスにも更新通知を送信します。「アカウントメール通知をセットアップする」「証明書更新通知」 を参照してください。

これらの更新通知はいつ送信されますか?

デジサート以外の SSL/TLS 証明書については、Discovery はお客様の CertCentral 更新通知設定に基づき、デジサート以外の証明書の更新通知をいつ送信するかを決定します。デフォルトでは、CertCentral は、証明書が有効期限となる90日、60日、7日および3日前、および証明書の有効期限が切れてから7日後に更新通知を送信します。

更新通知予約をカスタマイズするには、 「証明書更新通知」 を参照してください。

new

Discovery:デジサート以外の SSL/TLS 証明書更新通知プロセスをカスタマイズする

Discovery の証明書ページに、デジサート以外の証明書用の[操作]列ドロップダウン に新しい証明書更新操作を3つ追加しました。更新通知を無効にする,更新通知を有効にする,および更新通知更新通知 では、証明書用に更新通知を受け取るメールアドレスを追加できます。

これで、証明書ページでは、証明書ニーズにあわせてデジサート以外の証明書更新プロセスを更新できます。左メインメニューで、[Discovery] >[結果を表示する]の順でクリックします。

注記:デフォルトでは、Discovery は、すべての確認されたデジサート以外の SSL/TLS 証明書に更新通知を送信します。

デジサート以外の証明書の更新通知をカスタマイズするには、「Discovery 更新通知」を参照してください。

new

「新しい機能:ドキュメントサイニング証明書の更新」

ドキュメントサイニング(DS)証明書オーダー用[今すぐ更新] リンクを提供する[有効期限が近い証明書]ページのバグを修正しました。[今すぐ更新]をクリックすると、,SSL 証明書更新フォームが開き、DS 証明書更新ができませんでした。

注記:DS 証明書を更新するには、新しい証明書のオーダーが必要でした。

[有効期限が近い証明書]ページで、有効期限が近い DS 証明書オーダーの[今すぐ更新]をクリックすると、 DS 証明書更新フォームが開き、証明書を更新することができます。

DS 証明書更新についての詳細は、「ドキュメントサイニング証明書を更新する」 を参照してください。

new

ドキュメントサイニング (DS) 証明書のオーダー詳細ページとオーダー詳細パネルを更新し、新しい 証明書を更新する オプションを追加したことで、DS 証明書を有効期限が切れる前に更新しやすくなりました。証明書を更新する オプションは、有効期限が切れる90日前まで、オーダー詳細パネルとページには表示されませんので、注意してください。

オーダー詳細パネル

左メインメニューで、[証明書] >[オーダー]の順でクリックします。[オーダー]ページで、DS 証明書オーダーの [クイックビュー] リンクをクリックします。[オーダー詳細パネル]に,新しい 証明書を更新する オプションが表示されます。

オーダー詳細ページ

左メインメニューで、[証明書] >[オーダー]の順でクリックします。[オーダー]ページで、DS 証明書のオーダー番号リンクをクリックします。)[オーダー詳細]ページの,[オーダー操作]ドロップダウンに、新しい 証明書を更新する オプションが表示されます。

new

DigiCert Services API では、新しいエンドポイント – 追加メール を追加しました。このエンドポイントでは、オーダー用に証明書通知メールを受け取るメールアドレスを更新できます (例. 証明書更新、再発行、および複製オーダーなど)。

注記:以下の者はオーダーを管理できません。証明書関連メールを受信するのみです。

Services API についての詳細は、開発者ポータル を参照してください。

new

当社では CertCentral 変更ログ用の RSS フィード を実装したことを発表いたします。新しい変更ログフィードは以下をご覧ください。https://docs.digicert.com/change-log/feed/.

RSS フィードが もっとも最近の変更ログエントリ15件 を返します。今後の変更が特定しやすいように、今後の変更 ラベルを付しました。

変更ログ RSS フィードには RSS 2.0 仕様が付属し、RSS 2.0 準拠フィードアグレゲーションに対応しています。

RSS フィードヘッダーに関するヒント

主要なブラウザのすべてには RSS フィード拡張子が付き、選択した RSS フィードに自動アクセスし、お客様向けに結果を構成します。例えば、Chrome 拡張子 RSS フィードリーダーは、この POST に含まれるスクリーンショットに使用されています。

compliance

メンテナンスウインドウを更新しました

メンテナンスウインドウを再予約しました。2019年11月9日9:00 ~ 12:00(UTC),デジサートは、予定メンテナンスを実施します。

この間、デジサートサービスは利用できない場合があります。

  • CertCentral
  • デジサートウェブサイト (digicert.com)
  • 証明書認証
  • 証明書発行

デジサートサービスは、メンテナンスが完了次第、再開されます。

状況にあわせたプランを立ててください。高優先度オーダー、更新、再発行および複製発行をメンテナンスウインドウ以外で予約します。

DigiCert Services API 統合

メンテナンスの間、DigiCert Services API へのアクセスは部分的となるか、存在しなくなります。自動化タスクに API を使用する場合、この間は中断することを想定してください。

11月 8, 2019

new

当社はデジサート開発者ポータルに新しい追加 —Discovery API を発表いたします。Discovery API エンドポイントの初めてのセットを発行しました。当社では Discovery API ドキュメントの作成を継続しているため、さらに発表が続く予定です。

その使用理由は何ですか?

  • CertCentral アカウントへのサインインなしで、Discovery 機能にアクセスします。
  • Discovery エクスペリエンスをカスタマイズして、組織ニーズに対応します。
  • 既存のツールにシームレスに統合します。

今すぐ利用可能なエンドポイントのサンプル:

ヒントと注意点

  • Discovery API は以下のベース URL を使用します。https://daas.digicert.com/apicontroller/v1/
  • Discovery API には、管理者またはマネージャレベルの権限が必要です。
enhancement

OV と EV SSL/TLS 証明書オーダーフォームを更新し、新しい DCV 確認方法 ドロップダウンを追加しました。これで、OV と EV 証明書のオーダー時、オーダーで新しいドメインを認証するのに使用する DCV 方法を選択できます。.「SSL/TLS 証明書を要求(オーダー)する」 方法を参照してください。

注記:選択した DCV 方法は、オーダーのすべての未認証ドメインに適用されます。オーダーを提出した後、証明書のオーダー詳細ページから、ドメインごとに DCV 方法を変更することができます。「保留中の証明書オーダーについて、ドメイン名の利用権を確認する」 方法を参照してください。

enhancement

ドメイン事前認証フォームを更新し、OV と EV 証明書認証オプションを統合しました。これで、ドメインの事前認証時、新しい統一ドメイン認証オプション —OV/EV ドメイン認証* を使用できます。「ドメイン事前認証:ドメイン名の利用権確認 (DCV) 方法」 の説明を参照してください。

注意*:OV と EV 証明書のドメイン名の利用権確認 (DCV) 方法は同じです (確認メール、DNS TXT、など)。両者の違いは、ドメイン認証の有効期間のみです。OV SSL 証明書の場合、組織は 825 日 (約 27ヵ月) ごとに再認証が必要です。EV SSL 証明書の場合、ドメインは、13ヵ月ごとに再認証が必要です。

new

Discovery に新しい機能 —ルートと中間 CA を追加する— を追加しました、これにより、パブリックおよびプライベートルートと中間 CA をアップロードが可能になります。この機能を利用して、チェーンされた証明書のセキュリティ評価が高精度になります。

Discovery が、証明書について、証明書のルートおよび中間 CA を探すことができない場合、証明書のセキュリティ評価がダウングレードされます。証明書の中間およびルート CA のコピーをアップロードすることで、Discovery が次回、その証明書を含むスキャンを実行すると、さらに高精度な評価が得られます。

注記:サポートされた証明書形式.der または .cer

左メインメニューの CertCentral で、 [Discovery] > [Discovery を管理する] の順でクリックします。[他の操作] ドロップダウンの[スキャンを管理する]ページで、[ルートと中間 CA を管理する]をクリックします。Discovery ユーザーガイドで 「パブリックおよびプライべートルートと中間 CA を追加する」 を参照してください。

new

Discovery で、新しい[ブラックリスト]機能を追加し、スキャン結果から個別 IP addresses andアドレスと FQDN を含めることが可能になります。例えば、CDN ネットワークでドメインをブラックリストに記載することができます。

注記:IP アドレスまたは FQDN をブラックリストに掲載すると、将来のアカウント Discovery スキャンすべてからその情報は除外されます。この機能では、情報が既存のスキャン結果から削除されません。

左メインメニューの CertCentral で、 [Discovery] > [Discovery を管理する] の順でクリックします。[他の操作] ドロップダウンの[スキャンを管理する]ページで、[ブラックリストを管理する]をクリックします。Discovery ユーザーガイドで 「IP アドレスと FQDN」 を参照してください。

new

パートナー、再販業者およびエンタープライズ向けサブアカウント管理

以前のベータリリースでは、多くのサブアカウント機能が利用できました。今回のリリースでは、すべてのサブアカウント管理機能が CertCentral で完全利用できます。

階層型組織構造のあるパートナー、再販業者およびエンタープライズでは以下が可能です。

  • リテールまたはエンタープライズ顧客あるいはその自動サブ再販業者向けのすべてのサブアカウント詳細の作成と管理。
  • サブアカウント用のアカウントマネージャの指定。
  • CertCentral コンソールまたは API によるサブアカウントオーダーおよびレポートの表示。
  • サブアカウントへのオーダーの直接支払請求または親アカウント/サブアカウントに戻った支払請求。
  • 利用可能な製品および価格設定のカスタマイズ。
  • 現在は CertCentral で更新および拡張されている、手数料ベースのファイナンスの管理。

サブアカウントはどこにありますか?

  • CertCentral の左ナビゲーションで [サブアカウントメニュー] に移動します。
  • お使いのアカウントにサブアカウントが表示されない場合は、アカウントマネージャまたはカスタマーサポートにお問い合わせください。
new

CertCentral API で、強力な GraphQL クエリ言語を利用した[カスタムレポート API] を追加し、お客様が総合的でカスタマイズ可能なデータセットを生成し、より強力なレポートが可能になりました。

カスタムレポート API では、複数の REST エンドポイントを1に統合することで、お客様が必要な情報のみを戻すように、クエリでタイプとフィールドをより適切に定義することが可能になります。また、この利用により、再利用可能なクエリテンプレートを作成し、レポートを生成および予約することができます。

詳細は、開発者ポータルの 「カスタムレポート API」 を参照してください。

new

API キーと ACME Directory URL の新しい場所

SSL/TLS 証明書展開を自動化する方向の組織数が拡大する中で、新しい左メインメニューオプション自動化を共有し、新しいメニューオプションで証明書展開を自動化する2つのプライマリツールを設置しました。API キーACME Directory URL.

以前、お客様はこれらの機能には、アカウントアクセスページからアクセスしていました。これで、左メインメニューに追加され、便利になりました (メインメニューで[自動化] >[API キー] と[自動化] >[ACME Directory URL の順でクリック)。

注記:左メインメニューに[自動化]メニューオプションが表示されるのは、管理者とマネージャのみです。

compliance

Apple のプライベート SSL 証明書への新しい準拠要件

Apple は最近、SSL/TLS 証明書のいくつかの新しいセキュリティ要件が iOS 13 および macOS 10.15 のリリースと同時に実施されると発表しました。これらの要件は、2019年7月1日発行のプライベート証明書について有効となります。

パブリックデジサートSSL/TLS 証明書については、特に必要な対応はありません。

デジサートパブリック SSL/TLS 証明書はすでに、これらすべてのセキュリティ要件を満たしています。お使いのパブリック SSL/TLS 証明書は、これらの新しい要件の影響は受けず、iOS 13 および macOS 10.15 での信頼を得ています。

新着情報

Apple は、デザイン上、プライベート SSL/TLS 証明書に影響を及ぼす、すべての SSL/TLS 証明書向けに追加のセキュリティ要件を実装します。「iOS 13 および macOS 10.15 のトラスト証明書の要件」 を参照してください。

デジサートプライベート SSL/TLS 証明書は、パブリック証明書要件にしたがってアカウント管理者が発行した場合は、これらの要件を満たしています。

以下は、プライベート SSL/TLS 証明書に影響を及ぼす可能性がある要件のリストです。幸い、これらのバージョンの Apple の OS は、本年秋にリリース予定です。すなわち、今すぐ準備が必要です。

新しいプライベート SSL/TLS 証明書の要件:

  • 署名アルゴリズムの SHA-2 ファミリーのアルゴリズムを使用する必要があります。SHA-1 署名 SSL/TLS 証明書は信頼はなくなります。
  • 有効期間が 825日またはそれ以下である必要があります。有効期間が825日またはそれ以上の SSL/TLS 証明書は、信頼されません。

お客様側での対応は?

Apple iOS と macOS トラストは、プライベート SSL/TLS 証明書に必要です。2019年7月1日以降に発行されたプライベート SSL/TLS 証明書が新しい要件に対応しているかを確認してください。これらの要件に対応していない証明書が見つかった場合はすぐに、以下の対応が必要です。

new

組織]と [組織詳細]ページに以下の新しい2つのステータスを追加しました。認証が間もなく有効期限切れになります, および 認証の有効期限が切れました.これらのステータスにより、組織認証を先行してトラッキングし、最新に維持する操作がしやすくなります。

これで、[組織]ページ (サイドバーメニューで、[証明書] > [組織]の順にクリック) に移動し、間もなく有効期限が切れる、あるはすでに有効期限が切れた組織を速やかに特定できます。有効期限が近い、または有効期限切れの組織認証についての詳細は、組織名をクリックしてください。

fix

当社では、いくつかのアカウントが EV CS – コード署名組織拡張認証用に組織を提出できないバグを修正しました。影響を受けたアカウントには、EV コード署名とコード署名製品のみが含まれていました。

修正の一部として、EV と EV CS 確認済連絡先オプション を分割しました。これで、EV CS – コード署名組織拡張認証用の組織を提出した場合、EV CS オーダー承認のみに、組織の確認済連絡先を提出することができます。同様に、 EV – 拡張組織認証 (EV) を提出した場合、EV SSL 証明書オーダー承認のみの組織の確認済連絡先を提出できます。

注記:EV コード署名証明書オーダーについては、組織と組織の確認済連絡先の事前認証が必要です。組織の事前認証についての詳細は、「事前認証方法について組織を提出する」 を参照してください。

compliance

サーバ定期メンテナンス

2019年9月22日午前 6:30 ~ 8:30(UTC),デジサートは、サーバ定期メンテナンスをいくつか実施予定です。この間、お客様は CertCentral アカウントからログアウトし、ログインの問題が発生する場合があります。また、証明書認証と発行サービスも機能しない場合があります。

状況にあわせたプランを立ててください。例えば、高優先度の更新、再発行、または新しい証明書オーダーをメンテナンスウインドウ以外で提出します。

注記:アクセスは、メンテナンスが完了次第、復元されます。

DigiCert Services API 統合

サーバメンテナンスの間、DigiCert Services API へのアクセスは部分的となるか、存在しなくなります。自動化タスクに API を使用する場合、この間は中断することを想定してください。

new

当社では、API キー生成 プロセスを追加し、API キーを "表示専用" 権限に制限できるようにしました。

API キーをユーザーにリンクすると、そのユーザーのキーへの権限をリンクすることになります。これで、ユーザーの API キーの権限を GET 要求専用に制限できます。

詳細は、「API キーを生成する」 を参照してください。

new

DigiCert Services API では、[キーを作成する]と[キーを編集する]エンドポイントを更新し、新しいアクセスロール制限—表示専用 を追加しました。

これで、API を使用して API キーを作成または編集する場合、restricted_to_role_id パラメータをお客様の要求に追加し、新しい 102 値を含めて API キーを GET 要求のみに制限します。

[キーを作成する]エンドポイントの要求例

Example Create API key request

new

当社では、新しい機能を2つ、有効期限が近い証明書 ページ (サイドバーで、[証明書]>[有効期限が近い証明書]の順にクリック) を追加し、お客様の有効期限が近い証明書の更新通知を管理しやすくしました。

はじめに、インタラクティブチェックボックスに [更新通知]列を追加しました。このチェックボックスを使用して、有効期限が近い証明書の更新通知を有効または無効にすることができます。

次に、[更新通知]フィルターとして、無効有効 を追加しました。これらのフィルターでは、更新通知が有効または無効になった証明書オーダーのみを表示することができます。

enhancement

DigiCert Services API では、[List keysキーを一覧表示する]と [キー情報を取得する]エンドポイントの応答パラメータを改定し、お客様が ACME 証明書オーダーと関連づけられた組織を表示することが可能になりました。

これで、[キーを一覧表示する]と[キー情報を取得する]エンドポイントを呼び出すとき、当社では、応答で ACME 証明書オーダーと関連づけられた組織名 (organization_name) を返します。

Get key info: example reponse with new parameter

compliance

Firefox で Keygen サポートをを終了

Firefox 69 のリリースにともない、Firefox は最終的に Keygen のサポートを終了します。Firefox は Keygen を使用して、コード署名クライアントおよび SMIME 証明書をブラウザで生成するときに、公開鍵を提出するためのキー基盤の生成を促進します。

注記:Chrome はすでに、Keygen のサポートを終了しており、Edge と Opera はそのサポートをすることはありませんでした。

このお客様への影響は?

デジサートがコード署名、クライアント、または SMIME 証明書を発行した後、お客様の証明書を作成およびインストールするリンクをメールにて送信します。

Firefox 69 のリリース後、お客様は以下の2つのブラウザで、これらの証明書を生成することができます。Internet Explorer と Safari会社の規定により Firefox の使用が義務付けられている場合、Firefox ESR または Firefox のポータブルコピーを使用することができます。

詳細は、「Firefox 69 で終了する Keygen サポート」 を参照してください。

ヒントと注意点

  • クライアント認証には Firefox 69 を使用することもできます。はじめに、SMIME 証明書を IE 11 または Safari で生成します。次に、SMIME 証明書を Firefox にインポートします。
  • 生成したコード署名、クライアント、または SMIME 証明書をお使いの部ある座に移行させるには、オーダーとあわせて CSR を生成して提出します。リンクの代わりに、デジサートは、お客様の証明書を添付したメールを送信します。
new

当社では、新しいステータス 受取人にメール済 を,コード署名およびクライアント証明書オーダー用に オーダー および オーダー詳細 ページに追加し、これらのオーダーが発行プロセスにあることを確認しやすくしました。

この新しいステータスは、デジサートがオーダーを認証し、証明書がユーザーのメール受取人が以下のサポート対象のブラウザの1つでその生成がされるのを待機中であることを表します。IE 11、Safari、Firefox 68、および ポータブル Firefox

(サイドバーメニューで、[証明書 >オーダー]をクリックします。次に、オーダーページで、コード署名またはクライアント証明書オーダーのオーダー番号をクリックします。)

enhancement

当社は、拡張認証 (EV) コード署名 (CS) および ドキュメントサイニング (DS) 証明書再発行プロセスを改定し、お客様が、現在の証明書(元の、あるいは以前再発行した証明書)を自動失効することなく、再発行できるようになりました。

注記:現在の証明書(元の、あるいは以前再発行した証明書)が必要ない場合は、お客様に代わって当社で失効できるように、その旨当社に連絡する必要があります。

これで、次回お客様が EV CS または DS 証明書を再発行した場合、以前再発行した証明書を現在の有効期間(あるいは必要な期間)まで有効にできます。

compliance

業界基準準拠通知

パブリックおよびプライベート証明書について、認証局(CA)は、証明書オーダーまたは組織の事前認証要求でアドレスの一部を省略形として受け入れることはありません。

  • 州または都道府県*
  • 市町村または地域*

*これは、組織と管轄の住所の場合です。

new

認証のためドメインを提出する場合に、お使いのアカウントのドメイン認証スコープを定義しやすくしました(事前印象または証明書オーダーを経由)。

管理グループ環境設定ページでは、ドメイン認証スコープオプション2つ追加しました。

  • 認証用に正確なドメイン名を提出する
    このオプションでは、新しいドメインの要求を正確な名前で認証用に提出します (すなわち、sub.example.com 用の要求は sub.example.com として正確に認証用に提出します)。“高レベルl” ドメイン (例. example.com) の認証も可能です。これは CertCentral のデフォルト挙動です。
  • 認証をベースドメインのみに制限する
    これで、ドメイン認証をベースドメインに制限することができます (例. example.com)。新しいサブドメインを含む要求については (例. sub.example.com)、ベースドメイン用のドメイン認証のみ承認します (例. example.com)。サブドメインの認証 (例. sub.example.com) はできません。

お使いのアカウントのドメイン認証スコープにアクセスするには、サイドバーメニューで、[設定] > [環境設定] の順でクリックします。[管理グループ環境設定]ページで、[詳細設定] を拡張します。ドメイン認証スコープ下の [ドメイン名の利用権確認 (DCV)] セクションに,新しい設定が表示されます。

fix

SANS の最大許容数を 10 on Wildcard SSL 証明書再発行と新しい証明書オーダーで10に制限していたバグを修正しました。

これで、新しい Wildcard SSL 証明書の再発行またはオーダーのとき、最大 250 の SAN を塚することができます。

new

DigiCert Services API では、新しい[オーダー情報]エンドポイントを2つ追加しました。これで、オーダー ID、証明書のシリアル番号、また証明書のサムプリントを使用して、証明書オーダーの詳細を表示することができます。

  • GET https://www.digicert.com/services/v2/order/certificate/{{サムプリント}}
  • GET https://www.digicert.com/services/v2/order/certificate/{{serial_number}}

現在、これらの新しいエンドポイントは、プライマリ証明書用データのみ取り込むことができます。Services API についての詳細は、開発者 ポータルを参照してください。

new

これで PQC Docker 化ツールキットガイドが利用できます

グローバル・サーバ IDグローバル・サーバ ID 証明書には、デジサートポスト量子暗号 (PQC) ツールキット が付属しています。各自の PQC テスト環境を作成するには、以下のオプションのうち1つを使用してください。

当社のツールキットには、ハイブリッド SSL/TLS 証明 書の作成に必要な内容が付属しています。このツールキットのハイブリッド証明書は、ECC アルゴリズムと組み合わせた PQC アルゴリズムを使用し、お使いのウェブサイト上でポスト量子、後方互換ハイブリッド証明書のホスティング実現性をテストできます。

注記:PQC ツールキットにアクセスするには、グローバル・サーバ ID 証明書の [オーダー#詳細] ページに移動してください。(サイドバーメニューで、[証明書 >オーダー]をクリックします。[オーダー]ページで、グローバル・サーバ ID 証明書のオーダー番号リンクをクリックします。証明書の[オーダー]詳細ページで、[PQC ツールキット]をクリックします。)

ポスト量子暗号についての詳細は、「ポスト量子暗号」を参照してください。各グローバル・サーバ ID 証明書の収録内容についての詳細は、「Pro TLS/SSL 証明書」 を参照してください。

new

デジサートはここに、リテール API を使用したデジサートアカウント を新しい証明書管理プラットフォーム、DigiCert CertCentralに無料でアップグレードしやすくなったことを発表します!

アップグレードをできるかぎり継続的にするため、当社ではこれらのリテール API endpoints:エンドポイントを調節しました。

これで、API 統合への干渉なしで、デジサートアカウントをアップグレードできます。アップグレードが完了したら、CertCentral で新しい統合を構築するプラント立てます。

  • CertCentral Services API についての詳細は、開発者 ポータルを参照してください。

DigiCert Retail API についての詳細は、「DigiCert Retail API 用ドキュメント」 を参照してください。

enhancement

Discovery では、証明書ページを更新し、新しい操作 —証明書を交換する— を [操作]ドロップダウンに追加しました。これで、証明書ページから、発行 CA に関係なく、いずれかの証明書をデジサート証明書と交換することができます。

(サイドバーメニューで、[Discovery] > [結果を表示する] の順でクリックします。交換する証明書の証明書メージの[操作]ドロップダウンを探します。[操作] >[証明書を交換する]の順でクリックします。)

enhancement

Discovery では、Discovery ダッシュボードの 評価別証明書 ウィジェットを改定し、お使いのパブリック SSL/TLS 証明書のセキュリティ評価が見やすくなりました (サイドバーメニューで、[Discovery]>[Discovery ダッシュボード]の順でクリック)。

更新の一部として、ウィジェット名を変更しました。セキュリティ評価が分析した証明書.次に、ウィジェット上のチャートを2つのチャートに分割しました。パブリック および その他。これで、ウィジェット上の パブリック | その他 トグルスイッチを使用して、表示するチャートを選択します。

セキュリティ評価が分析した証明書 - パブリック チャートには、お使いのパブリック SSL/TLS 証明書のみの評価が表示されます。セキュリティ評価が分析した証明書 - その他 チャートには、他の SSL/TLS 証明書のすべて (例. プライベート SSL 証明書) が表示されます。

enhancement

Discovery では、エンドポイント および サーバ詳細 ページを改定し、IP アドレスと、結果として生成されるホスト名/FQDN スキャンの間の相関性が分かりやすくなりました。

これで、ホスト名/FQDN 用のスキャンを構成し、スキャンのエンドポイント結果が IP アドレスを返したときに、ホスト名/FQDN を IP アドレスのあるスキャンから含めます。

更新に関する注意事項:ホスト名更新は、最新のセンサバージョン – 3.7.10 で利用できます。センサ更新が完了したら、スキャンを再実行すると、スキャン結果にホスト名/IP アドレスの相関性が表示されます。

new

DigiCert Services API では、グローバル・サーバ ID 証明書のオーダー向けに以下の2つの新しいエンドポイントを追加しました。グローバル・サーバID を要求(オーダー)する およびグローバル・サーバ ID EV SSL を要求(オーダー)する.

  • POST https://www.digicert.com/services/v2/order/certificate/ssl_securesite_pro
  • POST https://www.digicert.com/services/v2/order/certificate/ssl_ev_securesite_pro

各グローバル・サーバ ID 証明書に付属の特典

各グローバル・サーバ ID 証明書には – 追加費用不要で – ポスト量子暗号 (PQC) ツールキット などのプレミアム機能への初めてのアクセスが含まれます。

その他のメリット:

  • 優先認証
  • 優先サポート
  • 2つのプレミアムサイトシール
  • マルウェアチェック
  • 業界屈指の保証 – お客様とその顧客を保護!

グローバル・サーバ ID 証明書についての詳細は、「DigiCertグローバル・サーバ ID」を参照してください。

グローバル・サーバ ID 証明書を CertCentral アカウントについて有効にするには、アカウントマネージャまたは当社の サポートチームにお問い合わせください。

enhancement

当社では SAML シングルサインオンと SAML 証明書要求ワークフローを改定し、お客様が SAML、シングサインオン (SSO) および SAML 証明書要求をオフにすることが可能になりました。以前は、お客様のアカウント用の SAML SSO または SAML 証明書要求の構成後、これらをオフにする唯一の方法は、SAML 機能を両方ともお使いのアカウントから削除することでした。

これで、フェデレーション設定 ページで、フェデレーション設定を消去することで、SAML SSO と SAML 証明書要求をオフにすることができます。

  • SAML SSO
    サイドバーメニューで、[設定] > [シングルサインオン]の順でクリックします。[シングルサインオン (SSO) ]ページで、[フェデレーション設定を編集する]をクリックします。「SAML シングルサインオンをオフにする」 を参照してください。
  • SAML 証明書要求
    サイドバーメニューで、[設定] >[SAML 証明書要求]の順でクリックします。[SAML 証明書要求]ページで、[フェデレーション設定を編集する]をクリックします。「SAML 証明書要求をオフにする」 を参照してください。

注記:[SSO をオフにする] および [SAML 証明書要求をオフにする] ボタンは、フェデレーション設定を構成して初めて表示されます(機能をオンにしたとき)。

SAML シングルサインオンと SAML 証明書要求の CertCentral との統合に関する詳細は、以下を参照してください。

new

グローバル・サーバ ID 証明書には、デジサートポスト量子暗号 (PQC) ツールキット が付属しています。当社のツールキットには、ハイブリッド SSL/TLS 証明書の作成に必要な内容が付属しています。このツールキットのハイブリッド証明書は、ECC アルゴリズムと組み合わせた PQC アルゴリズムを使用し、お使いのウェブサイト上でポスト量子、後方互換ハイブリッド証明書のホスティング実現性をテストできます。

注記:グローバル・サーバ ID 証明書の PQC のメリットには遡及作用があります。PQC ツールキットにアクセスするには、グローバル・サーバ ID 証明書の [オーダー#詳細] ページに移動してください。(サイドバーメニューで、[証明書 >オーダー]をクリックします。[オーダー]ページで、グローバル・サーバ ID 証明書のオーダー番号リンクをクリックします。証明書の[オーダー]詳細ページで、[PQC ツールキット]をクリックします。)

ポスト量子暗号および当社 PQC ツールキットについての詳細は、下記を参照してください。

各グローバル・サーバ ID 証明書の収録内容についての詳細は、「Pro TLS/SSL 証明書」 を参照してください。

compliance

業界基準の変更

2019年7月31日 (19:30 UTC) 現在、証明書オーダーで IP アドレスの利用権を確認するには、HTTP 実際的証明 DCV 方法を使用する必要があります。

HTTP 実際的証明 DCV 方法についての詳細は、以下の説明を参照してください。

現在、IP アドレスの利用権を証明する他の DCV 方法の使用許可に使用する業界基準ただし、バロット SC7 のパスにより、IP アドレス認証の規則が変更になりました。

バロット SC7:IP アドレス認証方法を更新する

このバロットにより、証明書に記載の IP アドレスの顧客による利用権の認証の許可プロセスと手順が再定義されています。バロット SC7 への準拠変更は、2019年7月31日 (19:30 UTC) に発効となります。

2019年7月31日 (19:30 UTC) 現在で準拠を維持するため、デジサートは顧客に HTTP 実際的証明 DCV 方法を使用した IP アドレスの認証にかぎり許可しています。

Ipv6 サポートの削除

2019年7月31日 (19:30 UTC) 現在、デジサートは、IPv6 アドレスについての証明書のサポートを削除しました。サーバ上の制限により、デジサートは IPv6 アドレスを利用して、 HTTP 実際的証明 DCV 方法向けに顧客のウェブサイトに配置されたファイルを確認することはできません。

enhancement

DigiCert Service API で、[再発行を一覧表示する] エンドポイント応答パラメータを更新し、お客様によるレシート ID、ドメインの購入回数、および再発行済オーダーでのワイルドカードドメインの購入回数の確認を可能にしました。

現在、これらの応答パラメータは、お使いの発効済証明書のオーダー詳細で、該当する場合に当社より返しています。

  • receipt_id
  • purchased_dns_names
  • purchased_wildcard_names
Example of the new List reissues endpoint response-parameters

new

Discovery で、[構成済暗号スイートをスキャンする] オプションを、暗号スイートがサーバ上で有効にできるスキャン設定に追加しました。スキャンを追加または編集するとき、このオプションは [スキャン内容を選択する] を選択したときは、[設定] セクションにあります。[スキャンをセットアップおよび実行する] または [スキャンを編集する] を参照してください。

スキャンが完了したら、暗号スイート情報が [サーバ詳細] セクションの [サーバ詳細] ページに一覧表示されます。(サイドバーメニューで、[Discovery] > [結果を表示する] の順でクリックします。[証明書]ページで、[エンドポイントを表示する] をクリックします。[エンドポイント]ページで、エンドポイントの [IP アドレス / FQDN] リンクをクリックします。次に、[サーバ詳細]セクションの[サーバ詳細]ページで、暗号 表示 リンクをクリックします。)

更新に関する注意事項:新しい [構成済暗号スイートのスキャン] オプションは、最新センサバージョン – 3.7.7 で利用できます。センサ更新の完了後、スキャンの [設定] を編集し、,[スキャン内容を選択する] を選択、,「構成済暗号スイート」にチェックを入れて、,スキャンを再実行します。

enhancement

Discovery で、Strict-Transport-Security (STS) セキュリティヘッダの評価システムを更新しました。現在、STS for HTTP 200 要求のみをチェックし、 HTTP 301 要求については、無視しています。ウェブサイトに Strict-Transport-Security (STS) セキュリティヘッダがないか、設定が間違っている場合、サーバにのみ罰則が科せられます。このような場合、サーバを "リスク状態" と評価します。

以前は、STS for HTTP 301 要求を当社がチェックし、Strict-Transport-Security (STS) セキュリティヘッダがない場合に、サーバに罰則を科していました。このような場合、サーバを "安全ではない" と評価しました。

セキュリティヘッダ 結果を表示するには、エンドポイントの[サーバ]詳細ページに移動します。サイドバーメニューで、[Discovery] > [結果を表示する] の順でクリックします。[証明書]ページで、[エンドポイントを表示する] をクリックします。[エンドポイント]ページで、エンドポイントの [IP アドレス / FQDN] リンクをクリックします。

更新に関する注意事項:更新した STS 評価システムは、最新のセンサバージョン – 3.7.7 で利用できます。センサ更新が完了した後、スキャンを再実行し、更新した STS 評価を確認します。

enhancement

[オーダーの証明書を再発行する]ページで、[取引サマリー] を改定し、お客様が、証明書の有効期限切れまでの残り日数を確認できるようにしました。これで、証明書を再発行する場合、[取引サマリー] に、証明書の有効期間が有効期限切れまでの日数とあわせて表示されます (例. 1 年 (43日で有効期限切れ)。

enhancement

DigiCert Services API で、[オーダーを一覧表示する],オーダー情報,再発行を一覧表示する,および [複製を一覧表示する] エンドポイントを更新し、お客様が証明書の有効期限切れまでの残り日数を確認できるようにしました。これらのエンドポイントについては、その応答に days_remaining パラメータを返します。

Example of the days_remaining response parameter.png

enhancement

SAML SSO 専用ユーザーの CertCentral Services API との統合を改定し、お客様が SSO 専用ユーザー API アクセスを付与できるアカウント設定を追加しました。[ユーザー向けに SSO 設定を構成する]下の[SAML サインオン (SSO)]ページに、[SSO 専用ユーザーへの API アクセスを有効にする] チェックボックスが表示されます (サイドバーメニューで、[設定] > [シングルサインオン]の順でクリック)。「SAML シングルサインオンを構成する」 を参照してください。

注記:この設定で、API キー付きの SSO 専用ユーザーは、シングルサインオンを避けることができます。API アクセスを SSO 専用ユーザーについて無効にすると、既存の API キーが失効になります。新しい API キーの作成をブロックするだけです。

fix

カスタム有効期間のゲスト URL での作動方法を改定するには、一時的に その機能へのアクセスを削除する必要があります。これで、新しいゲスト URL の作成時、,1年、2年、および3年の有効期間オプションのみ利用できます。

この変更が、既存のゲスト URL に影響を及ぼすことはありません。カスタム有効期間オプションを含む既存のゲスト URL は引き続き、以前と同様、機能します。

注記:3年の有効期間オプションは、プライベート SSL およびクライアント証明書にのみ適用されます。2018年2月20日現在、デジサートは、3年のパブリック SSL/TLS 証明書を提供していません。この変更の詳細については、ここをクリックしてください。

ゲスト URL を作成する
サイドバーメニューで、[アカウント] > [アカウントアクセス] の順でクリックします。[ゲスト URL]セクションの[アカウントアクセス]ページで、[ゲスト URL を追加する]をクリックします。「ゲスト URL を管理する」 を参照してください。

fix

証明書オーダープロセスから承認ステップを削除すると、カスタムフォームフィールド値の証明書の [オーダー] 詳細ページに記録してもブロックされるバグを修正しました。

現在、証明書オーダーフォームにカスタムフィールドを作成し、お使いのアカウントについて 「承認ステップをスキップする」 を有効にすると、カスタムオーダー値が証明書の [オーダー] 詳細ページに記録されます。

カスタムオーダーフォームフィールド

サイドバーメニューで、[設定] >[カスタムオーダーフィールド] の順でクリックします。[カスタムオーダーフォームフィールド]ページで、[カスタムオーダーフォームフィールドを追加する] をクリックします。「カスタムオーダーフォームフィールドを管理する」 を参照してください。

承認ステップをスキップする

サイドバーメニューで、[設定 > 環境設定]をクリックします。[管理グループ環境設定]ページで、[詳細設定] を拡張します。[承認ステップ]下の[証明書要求]セクションで、「承認ステップをスキップする: 証明書オーダープロセスから承認ステップを削除する」 を選択します。「証明書オーダープロセスから承認ステップを削除する」 を参照してください。

fix

オーダーに追加された [追加メール] が証明書の [オーダー] 詳細ページに記録されていない、証明書オーダーフォームバグを修正しました。

これで、証明書通知メールの受取希望者にオーダーへの追加メールアドレスを追加する場合、メールアドレスが証明書の [オーダー] 詳細ページに記録されます。

fix

証明書更新をキャンセルすると、更新オプションがオーダーから削除される、キャンセルオーダーバグを修正しました。

注記:これらの証明書を更新するには、サポートチームへの連絡が必要でした。

現在は、証明書更新をキャンセルする場合、オーダーに更新オプションが残り、お客様は準備ができた段階で、後から証明書を更新できるようになりました。

enhancement

証明書の[オーダー#]詳細ページと[オーダー#]詳細パネルを改定し、オーダーが API、ACME ディレクトリ URL、あるいは CertCentral 内からのいずれで要求されたかを確認できる、新しい [要求済オーダー] エントリを追加しました。オーダーが API または ACME ディレクトリ URL から要求された場合、API キー名または ACME ディレクトリ URL 名も含めます。

注記:証明書の要求者も確認しやすくし、新しい [オーダー要求者] エントリを[オーダー詳細]セクションに追加しました。以前は、要求者情報を [要求日] 詳細に含めていました。

オーダー#詳細パネル

サイドバーメニューで、 [証明書 >オーダー]をクリックします。[オーダー]ページで、証明書オーダーの [クイックビュー] リンクをクリックします。[オーダー#]詳細パネルで、[他の証明書情報を表示する] を拡張します。[オーダー詳細]セクションで、新しい [オーダー要求済] エントリが表示されます。

オーダー#詳細ページ

サイドバーメニューで、 [証明書 >オーダー]をクリックします。[オーダー]ページで、証明書のオーダー番号リンクをクリックします。[オーダー詳細]セクションの[オーダー#]詳細ページで、新しい [オーダー要求済] エントリが表示されます。

enhancement

SAML シングルサインオン (SSO) の CertCentral との統合のユーザー招待ワークフローを改定し、お客様が、お使いのアカウントユーアー招待を送信する前に、招待される者を SSO 専用ユーザーとして指定することができるようになります。これで、[新しいユーザーを招待する] ポップアップウインドウで、[SAML シングルサインオン (SSO) のみ] オプションを使用して、招待される者を SAML SSO のみに制限します。

注記:このオプションで、これらのユーザーについてすべての他の認証方法が無効になります。また、このオプションは、SAML をお使いの CertCentral アカウントで有効にしている場合のみ、表示されます。

サイドバーメニューで、[アカウント] >[ユーザー招待] の順でクリックします。[ユーザー招待]ページで、[新しいユーザーを招待する] をクリックします。「SAML SSO:ユーザーをアカウントに参加するように招待する」 を参照してください。)

簡易登録フォーム

当社では、SSO 専用ユーザー 登録フォームの簡素化も行い、,パスワードとセキュリティの質問要件を削除しました。これで、SSO 専用の招待される者に必要なのは、各自の個人情報のみとなります。

new

お使いのアカウントの Discovery 証明書スキャンの結果を CertCentral ダッシュボード から確認しやすくし、[確認された有効期限切れが近い証明書],証明書発行者,および [評価により分析した証明書] ウィジェットを追加しました。

各ウィジェットには、ドリルダウンして有効期限切れが近い証明書についての詳細を探しやすくできる双方向チャート (例. どの証明書が8~15日で有効期限切れになるか)、発行 CA ごとの証明書 (例. DigiCert)、およびセキュリティ評価ごとの証明書 (例. 安全ではない) が含まれます。

Discovery についての詳細

Discovery はセンサを利用して、ネットワークをスキャンします。スキャンは、CertCentral アカウント内から中央構成および管理します。

new

DigiCert Services API で、[オーダー情報] エンドポイントを更新し、お客様が証明書の要求方法を確認できるようにしました。Services API または ACME ディレクトリ URL から要求した証明書については、新しい応答パラメータを返します。api_key. このパラメータには、以下のキータイプとあわせてキー名が含まれます。API または ACME

注記:別の方法から要求したオーダー (例. CertCentral アカウント、ゲスト要求 URL、など) について、api_key パラメータは応答から省かれます。

これで、オーダー詳細を表示するときに、API または ACME ディレクトリ URL から要求したオーダーへの応答に新しい api_key パラメータが標示されます。

取得 https://dev.digicert.com/services-api/order/certificate/{order_id}

応答:

Order info endpoint response parameter

new

新しい検索フィルタ – [要求済] – を[オーダー]ページに追加し、これにより、お客様は個別の API キーまたは ACME ディレクトリ URL から要求した証明書オーダーを検索することができます。

これで、[オーダー]ページで、[要求済] フィルタを使用して、個別の API キーまたは ACME ディレクトリ URL から有効、有効期限切れ、失効済、拒否済、保留中の再発行、保留中、および複製証明書を探すことができます。

(サイドバーメニューで、[証明書 >オーダー]をクリックします。[オーダー]ページで、[詳細検索を表示する] をクリックします。次に、[要求済] ドロップボックスで、API キーまたは ACME ディレクトリ URL 名を選択するか、その名前をボックスに入力します。)

enhancement

基本およびセキュア・サーバ ID 単一ドメイン証明書サービス (Standard SSL、EV SSL、セキュア・サーバ ID、およびセキュア・サーバ ID EV SSL) を改定し、「[your-domain].com と www.[your-domain].com の両方を証明書に含める」 オプションをこれらの証明書オーダー、再発行、および複製フォームに追加しました。このオプションでは、お客様は、コモンネーム (FQDN) の両方のバージョンをこれらの単一ドメイン証明書に 無料で 含めるかを選択できます。

  • コモンネーム (FQDN) の両方のバージョンを安全保護するには、「[your-domain].com と www.[your-domain].com の両方を含める]にチェックを入れます。
  • コモンネーム (FQDN) のみを安全保護するには、「[your-domain].com と www.[your-domain].com の両方を含める]にチェックを入れます。

「SSL/TLS 証明書をオーダーする」 を参照してください。

サブドメインにも適用されます。

新しいオプションでは、両方のバージョンのベースとサブドメインを取得できます。これにより、両方のバージョンのサブドメインを安全保護するには、サブドメインを [コモンネーム] ボックス (sub.domain.com) に追加し、 「[your-domain].com と www.[your-domain].com の両方を含める]にチェックを入れます。デジサートが証明書を発行した場合、その証明書には以下の両方のバージョンのサブドメインが含まれることになります。[sub.domain].com と www.[sub.doman].com

[サブドメインにプラス機能を使用する]を削除しました

「[your-domain].com と www.[your-domain].com を証明書に含める」 オプションで、「プラス機能 -- サブドメインにプラス機能を使用する」 が使用できなくなります。そのため、[管理グループ環境設定]ページからオプションを削除しました (サイドバーメニューで、[設定] > [環境設定] の順でクリック)。

enhancement

DigiCert Services API で、下記の [OV/EV SSL をオーダーする],SSL をオーダーする (type_hint),セキュアサーバ ID を要求(オーダー)する,プライベート SSL をオーダーする,証明書を再発行する,および [複製証明書] エンドポイントを更新しました。これらの変更により、単一ドメイン証明書の要求、再発行および複製時の管理がしやすくなり、お客様が個別の追加 SAN をこれらの単一ドメイン証明書に 無料で 含めるかを選択することができます。

  • /ssl_plus
  • /ssl_ev_plus
  • /ssl_securesite
  • /ssl_ev_securesite
  • /private_ssl_plus
  • /ssl*
  • /reissue
  • /duplicate

*注意:[SSL (type_hint) をオーダーする]エンドポイントについては、 下記の dns_names[] パラメータのみを使用して、無料の SAN を追加します。

両方のバージョンのドメイン ([your-domain].com と www.[your-domain].com) を安全保護するには、要求で、common_name パラメータを使用して、ドメイン ([your-domain].com) を追加し、dns_names[] パラメータを使用して、他のバージョンのドメイン (www.[your-domain].com) を追加します。

デジサートが証明書を発行した場合、両方のバージョンのドメインが安全保護されます。

example SSL certificte request

コモンネーム (FQDN) のみを安全保護する場合は、要求の dns_names[] パラメータを省きます。

fix

いくつかのシングルサインオン専用ユーザーが、有効期限が切れた CertCentral パスワードをリセットするようにプロンプトで求められていた、SAML シングルサインオン (SSO) バグを修正しました。

注記:このプロンプト要求は、各アカウントにサインインした後でのみ、表示されていてました。これらの SSO 専用ユーザーはまだ、すべてのアカウント機能にアクセスし、すべての関連タスクを実行することができます。

enhancement

[オーダー#]詳細ページを改定し、お客様が、証明書に追加した証明書プロファイルオプションを確認できるようになりました。これで、証明書の [オーダー#詳細] ページに移動し、 [オーダー詳細] セクションで、その証明書オーダーに含まれる [プロファイルオプション] を確認することができます。

証明書プロファイルオプション

証明書プロファイルがお使いのアカウントで有効になっている場合、そのプロファイルオプションは、[追加証明書オプション]下の SSL/TLS 証明書要求フォームに表示されます。SSL/TLS 証明書のオーダー時、証明書にプロファイルを追加することができます。

サポート対象の証明書プロファイルオプションについての詳細は、「証明書プロファイルオプション」 を参照してください。お使いのアカウントで証明書プロファイルを有効にするには、アカウントマネージャに連絡するか、当社のサポートにお問い合わせください

enhancement

[API キー生成] プロセスを改定し、個別の操作セットに対する API キーの権限を制限する機能を追加しました。

キーをユーザーにリンクすると、そのユーザーのキーへの権限をリンクすることになります。これで、そのキーのユーザーロール内の操作のサブセットに対する権限を制限することができます。

詳細は、「API キーを生成する」 を参照してください。

new

制限権限付き API キーを速やかに特定するため、新しい情報アイコンを [アカウントアクセス] ページの API キーリストに追加しました (サイドバーメニューで、[アカウント] > [アカウントアクセス]の順でクリック)。アイコンをクリックすると、キーがどの統合を使用できるかが確認できます。

new

新しい [API キーを編集する] 機能を追加し、お客様による有効な API キーの説明と権限の編集が可能になりました。

API キーを編集するには、サイドバーメニューで、[アカウント] > [アカウントアクセス] の順でクリックします。API キー下のアカウントアクセスページで、API キー名リンクをクリックします。

詳細は、「API キーを編集する」 を参照してください。

enhancement

DigiCert Services API で、[複製証明書] エンドポイントワークフローを改定しました。これで、複製証明書がすぐに発行できる場合、当社より複製証明書を応答本文に返します。

詳細は、「複製証明書」 を参照してください。

enhancement

CertCentral の複製証明書オーダーをプロセスを改定しました。これで、複製証明書をすぐに発行できる場合、当社はお客様を、証明書をすぐにダウンロードできる [複製] ページに案内します。

enhancement

[承認ステップをスキップする] アカウント設定を改定し、同設定を、オンラインポータルから、および API から実行した証明書要求に適用しました。

お使いのアカウントの[承認をスキップする]設定にアクセスするには、サイドバーメニューで、[設定] > [環境設定] の順でクリックします。[管理グループの環境設定]ページで、 [詳細設定] を拡張し、[証明書要求]セクションまですくロードダウンします。「証明書オーダープロセスから承認ステップを削除する」 を参照してください。

fix

[今すぐオーダーする] をクリックすると、[デジサートアカウントサインイン]ページにリダイレクトされる、ゲスト URL 証明書要求ページのバグを修正しました。

現在、ゲスト URL から証明書をオーダーし、[今すぐオーダーする] をクリックすると、,要求が承認のため、アカウント管理者に提出されます。ゲスト URL についての詳細は、「ゲスト URL の管理」 を参照してください。

enhancement

[新しい管理グループ]ページに [ユーザーを自動更新する] 機能を追加し、これにより、オプションでお客様が新しい管理グループの作成時、管理グループの自動更新オーダーについて、デフォルトユーザーを設定することができます。この設定を行った場合、このユーザーはすべての管理グループ 自動更新証明書オーダー で元の要求者を入れ替え、自動更新中断を防止することができます。

サイドバーメニューのお使いのアカウントで、[アカウント] >[管理グループ]の順でクリックします。[管理グループ] ページで、[新しい管理グループを追加する]をクリックします。[新しい管理グループ]ページ、 [自動更新ユーザー] ドロップダウンで、すべての管理グループ自動更新オーダーでデフォルトユーザーを設定します。

new

新しいツールを CertCentral ポートフォリオ—ACME プロトコルサポート—に追加することで、ACME クライアントを CertCentral と統合し、OV と EV TLS/SSL 証明書をオーダーすることができます。

注記:これは、CertCentral の ACME プロトコルサポートのオープンベータ期間です。エラーを報告する、または ACME クライアントの CertCentral への接続サポートは、サポートチーム にお問い合わせください。

CertCentral アカウントの ACME にアクセスするには、[アカウントアクセス]ページ (サイドバーメニューで、[アカウント] > [アカウントアクセス]の順でクリック) に移動すると、新しい [ACME ディレクトリ URL] セクションが表示されます。

ACME クライアントの CertCentral アカウントとの接続についての詳細は、「ACME ユーザーガイド」 を参照してください。

お使いのアカウントについて ACME をオフにするには、アカウントマネージャまたは サポートチーム にお問い合わせください。

既知の問題

現在既知の問題のリストは、ACME ベータ:既知の問題」 を参照してください。

enhancement

[認証局] ページを改定し、保留中および発行済プライベート CA 中間とルート証明書オーダーに証明書詳細パネルを追加しました。このパネルには、発行済プライベート CA 証明書のダウンロードオプションとあわせて、追加証明書詳細(署名ハッシュ、シリアル番号、など)が含まれます。

[認証局]ページ (サイドバーで、[証明書] > [認証局]の順でクリック) の証明書詳細パネルにアクセスするには、プライベート CA ルートまたは中間証明書リンクをクリックします。

new

[管理グループを編集する]ページに新しい [ユーザーを自動更新する] 機能を追加し、これにより、オプションでお客様が管理グループの自動更新オーダーについて、デフォルトユーザーを設定することができます。この設定を行った場合、このユーザーはすべての管理グループ 自動更新証明書オーダー で元の要求者を入れ替え、自動更新中断を防止することができます。

(サイドバーメニューのお使いのアカウントで、[アカウント] >[管理グループ]の順でクリックします。[管理グループ] ページで、管理グループを選択 (または [マイ管理グループ]をクリック) します。管理グループを編集する、また [自動更新ユーザー] ドロップダウンで、すべての管理グループ自動更新オーダーでデフォルトユーザーを設定します。)

enhancement

自動証明書更新機能を改定し、プロセスに "[自動更新無効]" 通知を追加しました。証明書の自動更新を妨害する事態が発生した場合、現在は、当社が "[自動更新無効]" メール通知を送信し、そのオーダーについて自動更新が無効になったこと、その結果どうなるか、またそのオーダーの自動更新の再更新方法をお客様に通知します。

注記:自動証明書更新は個別ユーザーに連携しています (オーダー別または管理グループ別)。そのユーザーがオーダーを実行する権限を失った場合、自動証明書更新プロセスは無効になります。

new

SSL/TLS 証明書ランドスケープ全体のリアルタイム分析を実行する CertCentral ポートフォリオ—Discovery- に新しいツールを追加しました。

発行認証局(CA)には関係なく、すべての内部およびパブリックフェース SSL/TLS 証明書を速やかに探すことも目的に設計された Discovery は、証明書構成と実装の問題を証明書関連の脆弱性とあわせて識別、およびエンドポイント構成の問題を識別します。

注記:Discovery はセンサを利用して、ネットワークをスキャンします。センサは、戦略的な場所に取り付ける小さなソフトウェアアプリケーションです。それぞれのスキャンは、センサにリンクされています。

スキャンは、CertCentral アカウント内から中央構成および管理します。スキャン結果は、CertCentral 内の直感的な双方向ダッシュボードに表示されます。スキャンは、構成により、設定スケジュールにあわせて、1回または複数回実行します。

5月 13, 2019

enhancement

グローバル・サーバ ID TLS/SSL 証明書は現在、すべての CertCentral アカウントに含まれていますこれらの証明書についての全説明は、「DigiCertグローバル・サーバ ID」 を参照してください。

お使いのアカウントのサイドバーメニューで、[証明書を要求する] の上にマウスを当てます。[Business SSL 証明書]下で、新しいグローバル・サーバ ID 証明書を探します。

5月 10, 2019

fix

デジサートと Norton サイトシールが内部ドメイン名上で表示される場合があるバグを修正しました。

現在、当社のサイトシールでは、内部ドメイン名に決定することはありません。

enhancement

当社では CertCentral SAML フェデレーション設定を更新し、[SAML シングルサインオン IdP 選択] および [SAML 証明書要求 IdP 選択] ページで、IdP のリストでのフェデレーション名の非表示が可能になります。

現在、[IDP のメタデータ]下の[フェデレーション設定]ページで、[フェデレーション名を含める] オプションが追加されています。IdP 選択ページ の IdP のリストでフェデレーション名を非表示にする場合は、,「IdP のリストにフェデレーション名を追加する」のチェックを外します。

new

グローバル・サーバ ID TLS/SSL 証明書は、CertCentral で利用できます。グローバル・サーバ ID により、ドメインごとの課金となり、証明書の基本コストはありません。1個のドメインを追加すると、1個ごとに課金されます。9個のドメインが必要な場合は、9個について課金されます。1つの証明書で最大250のドメインを安全保護します。

当社には2つのタイプのグローバル・サーバ ID 証明書があり、1つは OV 証明書用、もう1つは EV 証明書用です。

  • グローバル・サーバ ID
    お客様のニースに適した OV 証明書を取得します。1個のドメイン、1個のワイルドカードドメインおよびすべてのサブドメインの暗号化と認証を行うか、あるいはサブジェクトの別名 (SAN) を使用して、複数のドメインとワイルドカードドメインを1個の証明書で安全保護します。
  • グローバル・サーバ ID EV
    お客様のニーズに適した拡張認証証明書を取得します。暗号化と認証により1個のドメインを安全保護する、あるいはサブジェクトの別名 (SAN) を使用して複数のサイトを1個の証明書で安全保護します (完全適格ドメイン名)。

各グローバル・サーバ ID 証明書に付属の特典

各グローバル・サーバ ID 証明書には – 追加コスト不要で – CertCentral への将来のプレミアム機能追加への初回アクセス (例. CT ログモニタリングと認証管理) が含まれます。

その他のメリット:

  • 優先認証
  • 優先サポート
  • 2つのプレミアムサイトシール
  • マルウェアチェック
  • 業界最高の保障

グローバル・サーバ ID 証明書を CertCentral アカウントについて有効にするには、アカウントマネージャまたは当社の サポートチームにお問い合わせください。

グローバル・サーバ ID 証明書についての詳細は、「DigiCertグローバル・サーバ ID」を参照してください。

compliance

パブリック SSL 証明書は、下線付きドメイン名を安全保護することはできません ("_")。ドメイン名に下線が付いた、以前発行済の証明書はすべて、この日付前に有効期限切れとならなければなりません。

注記:下線を含み、証明書の代わる、下線の推奨解決方法 (FQDN)ただし、名前変更ができない状況では、プライベート証明書 を使用でき、また状況によっては、ドメイン全体を安全保護する ワイルドカード証明書 を使用することができます。

詳細は、「ドメイン名の下線使用をやめる」を参照してください。

compliance

CanSignHttpExchanges 拡張子を ECC SSL/TLS 証明書に含める業界基準の要件:

  • "cansignhttpexchanges=yes" パラメータ* を含むドメインの CAA リソースレコード
  • 楕円曲線暗号 (ECC) 鍵ペア
  • CanSignHttpExchanges extension
  • 最大90日の有効期間*
  • Signed HTTP Exchange のみに使用

*注意:これらの要件は、2019年5月1日発効済です。Signed HTTP Exchanges 拡張子は、鋭意開発中です。業界の開発が継続している中で、要件がさらに変更される場合があります。

90日の最大証明書有効期間要件は、2019年5月1日以前に発行された証明書に影響を及ぼすことはありません。再発行済証明書は、再発行時点から90日に切り上げられますので、注意してください。ただし、完全購入の有効期間については、証明書を引き続き再発行できます。

CanSignHttpExchanges 拡張子

最近、新しい証明書プロファイル HTTP Signed Exchanges を追加し、お使いのブランドがアドレスバーに表示されない AMP URL 表示問題への対応を支援しました。「Signed Exchanges 付き AMP URL の表示を改善する」 を参照してください。

この新しいプロファイルにより、お客様は CanSignHttpExchanges 拡張子を OV と EV SSL/TLS 証明書に含めることができます。お使いのアカウントについて有効にした場合、[CanSignHttpExchanges 拡張子を証明書に含める] オプションが、[追加証明書オプション] 下の OV と EV SSL/TLS 証明書要求フォームに表示されます。「Signed HTTP Exchanges 証明書を取得する」 を参照してください。

このアカウントで証明書プロファイルを有効にするには、アカウント代理人に連絡するか、当社のサポートにお問い合わせください

new

CertCentral エクスペリエンス – [マイエクスペリエンスをカスタマイズする]をカスタマイズできる新しい機能を追加しました。この機能の初回使用開始時、お使いのアカウントのランディングページのカスタマイズ機能を追加しました。(お使いのアカウント右端上の名前ドロップダウンで、[マイエクスペリエンスをカスタマイズする]を選択します。)

例えば、サインするごとに、最初の操作は、有効期限切れが近い証明書を管理することになります。このワークフローを簡素化するため、[有効期限切れが近い証明書]をランディングページとして設定します。これで、サインインするごとに、有効期限切れが近い証明書に直接移動になります。(ランディングページの [マイエクスペリエンスをカスタマイズする] ページで、[有効期限切れが近いオーダー][保存] を選択します。)

enhancement

デジサートは引き続き、コード署名証明書について SHA1 署名 をサポートします。2019年12月30日の最長有効期限制限を撤廃しました。

enhancement

DV 証明書を、ゲスト URL に利用可能な製品に追加しました。これで、GeoTrust と RapidSSL DV 証明書を ゲスト URL に追加することができます。

fix

セキュア・サーバ ID 証明書をゲスト URL に追加すると、ゲスト URL の編集が妨害されるバグを修正しました。現在、セキュア・サーバ ID 証明書をゲスト URL に追加すると、必要に応じて、ゲスト URL を編集することができます。

fix

プライベート SSL 証明書をゲスト URL に追加すると、ゲスト URL の編集が妨害されるバグを修正しました。現在、プラベート SSL 証明書をゲスト URL に追加すると、必要に応じて、ゲスト URL を編集することができます。

enhancement

CertCentral ヘルプメニューのドキュメントリンクを更新し、[アカウントアクセス]ページで、新しいドキュメントポータルに移動します。

これで、CertCentral ヘルプメニューで、,[はじめに]をクリックすると、,新しいデジサートドキュメントポータル に移動になります。同様に、[ログを変更する] をクリックすると、,改定された [ログを変更する] ページに移動になります。また現在、[アカウントアクセス] ページ (サイドバーメニューで、[アカウント] > [アカウントアクセス] をクリック)、[API ドキュメント] をクリックすると、,新しい [デジサート開発者ポータル] に移動になります。

fix

SSL/TLS 証明書要求プロセス中に追加された新しい組織が[組織]ページ (サイドバーメニューで、[証明書] > [組織]の順でクリック) に表示されないバグを修正しました。

この修正により、SSL/TLS 証明書要求プロセス中に追加された 新しい組織 がお使いのアカウントの[組織]ページに自動的に表示されます。

遡及的修正:すべての組織が表示されます

このバグの修正は遡及的でもあります。ユーザーによる要求プロセス中への新しい組織の追加を可能にした場合、次回お使いのアカウントの[組織]ページに移行したときに、これらの組織がリストに追加されています。

注記:証明書に追加できる証明書要求での 既存の組織のリスト に表示されても、このバグが、これらの組織の追加 SSL/TLS 証明書の要求機能に影響を及ぼすことはありませんでした。このバグは、新しい[組織]ページから追加された組織に影響を及ぼすこともありませんでした ([組織]ページで、[新しい組織] をクリック)。

enhancement

CertCentral 監査ログを改定し、,API キー作成のトラッキング確認がしやすくなりました。これで、監査ログには、API キー作成者、作成時間、および API 名などについて情報が含まれることになります。

(お使いのアカウントの監査ログにアクセスするには、サイドバーメニューで、[アカウント] > [監査ログ] の順でクリック)。

new

新しいデジサートドキュメントポータルを公表いたします。新しいサイトの外観は刷新され、整理されたタスクベースのヘルプドキュメント、製品ニュース、変更ログおよび API 開発者ドキュメントが記載されます。

新しいデジサート開発者ポータル はベータ版ではないことを発表いたします。開発者サイトの外観は刷新され、利用可能なエンドポイント、使用ケースおよびワークフローについての情報が記載されます。

ヒントと注意点

  • ドキュメントポータルへは [サポート] 下のトップメニューにある www.digicert.com からアクセスできます ([サポート] > [ドキュメント]の順でクリック)。
  • ドキュメントにサブヘッダを置き、ハッシュタグアイコン をクリックします。これでブラウザのアドレスバーに URL が作成され、指示にしたがって個別セクションにブックマークするか、リンクできます。

まもなく公開

はじめに には、お使いのアカウントの機能に慣れるための情報が収録されています。

compliance

CA は、ドメイン名に下線を含む30日パブリック SSL 証明書を発行することはできません (コモンネームおよびサブジェクトの別名)。

注記:下線を含み、証明書の代わる、下線の推奨解決方法 (FQDN)ただし、名前変更ができない状況では、プライベート証明書 を使用でき、また状況によっては、ドメイン全体を安全保護する ワイルドカード証明書 を使用することができます。

詳細は、「ドメイン名の下線使用をやめる」を参照してください。

compliance

最終日、ドメイン名の下線を含む、30日パブリック SSL 証明書 (コモンネームとサブジェクトの別名) を CA からオーダーすることができます。

注記:下線を含み、証明書の代わる、下線の推奨解決方法 (FQDN)ただし、名前変更ができない状況では、プライベート証明書 を使用でき、また状況によっては、ドメイン全体を安全保護する ワイルドカード証明書 を使用することができます。

詳細は、「ドメイン名の下線使用をやめる」を参照してください。

new

新しい証明書プロファイルオプションとなる OCSP Must-Staple を追加することで、OCSP Must-Staple 拡張子を OV と EV SSL/TLS 証明書に含めることができるようになりました。お使いのアカウントについて有効にした場合、[OCSP Must-Staple 拡張子を証明書に含める] オプションが、[追加証明書オプション] 下の SSL/TLS 証明書要求フォームに表示されます。

注記:OCSP must-staple をサポートするブラウザには、お使いのサイトにアクセスするユーザーには、ブロッキングインタースティシャルが表示される場合があります。証明書のインストール前に、お使いのサイトが stapled OCSP 応答に適切かつ強く対応する構成になっているかを確認してください。

お使いのアカウントで証明書プロファイルを有効にするには、アカウント代理人に連絡するか、当社のサポートにお問い合わせください

他の利用可能な証明書オプション

お使いのアカウントで有効になっている場合、これらのプロファイルオプションは、[追加証明書オプション]下の SSL/TLS 証明書要求フォームに表示されます。

  • Intel vPro EKU
    [Intel vPro EKU]フィールドを OV SSL/TLS 証明書に含めることができます。
  • KDC/SmartCardLogon EKU
    [KDC/SmartCardLogon EKU (拡張キー使用法)]を OV SSL/TLS 証明書に含めることができます。
  • HTTP Signed Exchange
    [CanSignHTTPExchanges]拡張子を OV と EV SSL/TLS 証明書に含めることができます(「Signed HTTP Exchange 付き AMP URL を改善する」 を参照してください)。
  • Delegated Credentials
    [DelegationUsage]拡張子を OV と EV SSL/TLS 証明書に含めることができます。
new

新しい証明書プロファイルオプションとなる Delegated Credentials を追加することで、DelegationUsage 拡張子を OV と EV SSL/TLS 証明書に含めることができるようになりました。お使いのアカウントについて有効にした場合、[DelegationUsage 拡張子を証明書に含める] オプションが、[追加証明書オプション] 下の SSL/TLS 証明書要求フォームに表示されます。

お使いのアカウントで証明書プロファイルを有効にするには、アカウント代理人に連絡するか、当社のサポートにお問い合わせください

背景

Delegated Credentials for TLS 拡張子は、インターネット技術特別調査委員会 (IETF) において鋭意開発中です。相互運用性テストをサポートするため、現在の起案仕様書に準拠する証明書発行機能を追加しました。業界開発の継続にしたがい、起案には多数の変更がなされる可能性がありますので、注意してください。

他の利用可能な証明書オプション

お使いのアカウントで有効になっている場合、これらのプロファイルオプションは、[追加証明書オプション]下の SSL/TLS 証明書要求フォームに表示されます。

  • Intel vPro EKU
    [Intel vPro EKU]フィールドを OV SSL/TLS 証明書に含めることができます。
  • KDC/SmartCardLogon EKU
    [KDC/SmartCardLogon EKU (拡張キー使用法)]を OV SSL/TLS 証明書に含めることができます。
  • HTTP Signed Exchange
    [CanSignHTTPExchanges]拡張子を OV と EV SSL/TLS 証明書に含めることができます(「Signed HTTP Exchange 付き AMP URL を改善する」 を参照してください)。
  • OCSP Must-Staple
    [OCSP Must-Staple]拡張子を OV と EV SSL/TLS 証明書に含めることができます。
enhancement

証明書要求ページの [取引サマリー] を改定し、証明書コストがトラッキング確認しやすくなりました。例えば、Multi-Domain 証明書を要求し、5このドメインを追加するとします。[取引サマリー] には,基本代金 (SAN 4個分を含む) に加え、オーダーに追加した追加 SAN の代金が表示されます。

以前は、[取引サマリー] では、項目別代金なしで、証明書の合計代金のみトラッキング表示されました。

new

セキュア・サーバ ID 証明書には現在、VirusTotal マルウェアチェックへの便利なアクセスが付属しています。70以上のアンチウィルススキャナと URL/ドメインブラックリストサービスにより、パブリックドメインを分析します。いくつかの結果に基づき、サイト可用性やオンライン収益を妨害する可能性があるブラックリストからお使いのサイトを引き離す対応ができるように、マルウェアの脅威を特定します。

注記:このメリットは遡及的に影響を及ぼします。セキュア・サーバ ID 証明書の [オーダー#詳細] ページに移動し、新しい VirusTotal マルウェアチェックを使用してください。(サイドバーメニューで、[証明書 >オーダー]をクリックします。[オーダー]ページで、セキュア・サーバ ID 証明書のオーダー番号リンクをクリックします。)

各セキュア・サーバ ID 証明書の付属内容についての詳細は、「デジサートのすべてのメリットが付属したセキュア・サーバ ID」 を参照してください。

fix

保留中の再発行の [オーダー#] 詳細ページの [操作が必要] セクションで元の、または以前発行済の証明書から外されたドメインを一覧表示する、保留中の証明書再発行のバグを修正しました。

この発行が影響を及ぼすのは、有効期限切れのドメイン認証のあるドメインのみでした。最新ドメイン認証のあるドメインを削除した場合、それが [操作が必要] セクションに含まれることはありませんでした。

注記:再発行要求に含めたドメインについて必要なのは、DCV の完了のみでした。削除済のドメインは無視できました。また、証明書を再発行した場合、その再発行に元の、または以前発行済の証明書から外されたドメインは含まれませんでした。

現在、証明書を発行し、元の、または以前発行済の証明書に含めたドメインを削除する場合、保留中の再発行の [オーダー#] 詳細ページの Order #[操作が必要] セクションに保留中のドメイン認証のある再発行要求に含まれるドメインは表示されませんでした。

fix

複製を誰が要求したかには関係なく、すべての複製証明書オーダーでは、元の証明書要求者を要求者として追加する、複製証明書オーダーのバグを修正しました。

現在、複製証明書のオーダーには、複製を要求したユーザー名を追加しています。

注記:この修正は遡及的に作用はしないため、発行済の複製証明書オーダーには影響を及ぼしません。

fix

DigiCert Services API で、複製証明書オーダーの名前を返してこない、[複製を一覧表示する] エンドポイントのバグを修正しました。

現在、[複製を一覧表示する] エンドポイントを使用した場合、複製証明書を要求するユーザー名を返しています。

この発行を修正するため、新しい応答パラメータをいくつか追加しています。これにより、応答で要求者の名前を返すことが可能になりました。

…user_id= Requestor's user ID
…firstname= Requestor's first name
…lastname= Requestor's last name

[複製を一覧表示する]エンドポイント応答の例

3月 18, 2019

fix

DigiCert Services API で、発行済クライアント証明書オーダー(Authentication Plus、Email Security Plus、など) にメールアドレスを返す、[オーダー情報] エンドポイントのバグを修正しました。

注記:[オーダーを一覧表示する] エンドポイントを使用して、すべての発行済証明書に情報を取り込む場合、クライアント証明書オーダーのメールアドレスが返されました。

現在は、[オーダー情報] エンドポイントを使用して、発行済クライアント証明書オーダーの詳細を表示すると、応答でメールアドレスが返されます。

Authentication Plus 向けオーダー情報応答の例

fix

複数の組織部門(OU)のある SSL/TLS 証明書要求での OU エントリに個別に適用するのではなく、全体的に64文字制限を提供する OU エントリ文字制限のバグを修正しました。管理者が要求を承認しようとするとき、"「組織部門は、業界基準に準拠するため、64文字以下でなければなりません」" エラーメッセージを間違って受け取っていました。

注記:このバグが影響を及ぼすのは、管理者承認が必要な要求のみです。

現在、管理者が 複数の OU のある SSL/TLS 証明書要求を承認する (各エントリは64文字制限基準内) 場合、要求は予定どおり、デジサートに提出されます。

準拠に関する注意事項:業界基準では、個別の組織部門エントリに64文字の制限が設定されています。ただし、オーダーに複数の OU を追加する場合、それぞれは個別にカウントされ、組み合わされることはありません。「パブリックトラスト証明書 – 業界基準に違反するデータエントリ」 を参照してください。

fix

要求/証明書の割当先の管理グループを編集することができない、証明書要求上のバグを修正しました。

注記:証明書が発行されたら、[オーダー#] 詳細ページに移動し、証明書の割当先の管理グループを編集することができました。

現在、証明書要求を編集する場合、要求/証明書の割当先の管理グループを変更することができます。

fix

保留中の再発行付き証明書を失効できるようにみえる証明書再発行バグを修正しました。このバグの修正のため、再発行証明書ワークフローを改定し、[証明書を失効にする] オプションを保留中の再発行付き証明書から削除しました。

以前は、証明書に保留中の再発行がある場合、元の、あるいは以前の発行済証明書を失効にする要求を提出 することができました。管理者が要求を承認したとき、証明書が [要求] ページで失効済として間違ってマークされていました。しかし、[オーダー] ページに移動すると、証明書は発行済として正しくマークされ、まだ有効でした。

証明書の再発行が保留中の場合、その証明書は証明書再発行プロセスと連携されているため、失効にすることはできません。保留中の再発行が付いた証明書の失効が必要な状況になった場合、以下の2つのオプションがあります。

  1. 証明書再発行をキャンセルし、続いて元の、または以前発行済の証明書を失効にする
  2. デジサートが証明書を再発行するのを待ち、証明書を失効にする
fix

保留中の再発行付き証明書を失効にする要求を提出できるようにみえる DigiCert Services API 証明書再発行バグを修正しました。[証明書を失効にする] エンドポイントを使用した場合、[201 作成済] 応答が要求詳細とあわせて返ってきました。

現在、[証明書を失効にする] エンドポイントを使用して保留中の再発行付き証明書を失効にする場合、お客様が保留中の再発行付きオーダーは失効にできないことを、その証明書を失効にする必要がある場合はどうするかの情報とあわせて通知するメッセージを付けて、エラーを返します。

"オーダーは、再発行の保留中は、失効にすることはできません。再発行をキャンセルし、続いて証明書を失効にするか、または再発行が完了してから証明書を失効にすることができます。"

fix

有効期限切れまで1年以上残っている証明書の元のオーダーの有効期限日を提供していない、DV 証明書再発行バグを修正しました。

現在、有効期限切れまで1年以上残っている DV 証明書を再発行するとき、再発行済証明書に、元の証明書の有効期限日が保持されます。

enhancement

DigiCert Services API で DV 証明書要求エンドポイントを改定したことで、新しい email_domain フィールドを既存の email フィールドとあわせて使用し、ドメイン名の利用権確認 (DCV) メールの希望受取人をより正確に設定できるようになりました。

例えば、my.example.com に証明書をオーダーするとき、ベースドメイン (example.com) のドメインオーナーにサブドメインを認証させることができます。DCV メールのメール受取人を変更するには、DV 証明書要求で、dcv_emails パラメータを追加します。次に、ベースドメイン (example.com) を指定する email_domain フィールドと希望の DCV メール受取人(admin@example.com)を指定する email フィールドを追加します。

GeoTrust Standard DV 証明書の要求例

DV 証明書エンドポイント:

fix

証明書の署名ハッシュが正しく表示されない、証明書再発行 [オーダー#] 詳細ページのバグを修正しました。このバグは署名ハッシュを変更したときに再発行でのみ発生しました (すなわち、元の証明書で、お役様が SHA256 を使用し、再発行では SHA384 を使用した場合です)。

注記:再発行済証明書は、正しい署名ハッシュで発行されています。

これで、別の署名ハッシュで証明書を再発行する場合、ハッシュは証明書の [オーダー#詳細] ページに正しく表示されます。

fix

お客様に証明書が発行されたことを通知するメールを送信していない、コード署名証明書再発行を修正しました。

注記:お使いのアカウントでオーダーをチェックしたとき、再発行済コード署名証明書は [オーダー#] 詳細ページからダウンロードできます。

現在、当社がコード署名証明書を発行する場合、お客様のコード署名証明書が発行されたことを通知するメールを送信しています。

enhancement

DigiCert Services API 要求エンドポイントを強化したため、お客様は、証明書要求への応答を早めることが可能にななります。

enhancement

OV 証明書オーダーについて 連絡先を追加 しやすくしました (Standard SSL、セキュア・サーバ ID、など)。これで、OV 証明書をオーダーするとき、当社がお客様の代わりに [組織連絡先] カードに記入します。必要な場合、技術連絡先を追加することができます。

  • お使いのアカウントに既存の組織を含む CSR を追加する場合は、組織連絡先カードに、その組織に割り当てられた連絡先を記入します。
  • 既存の組織を手動で追加する場合は、組織連絡先 カードに、その組織に割り当てられた連絡先を記入します。
  • 新しい組織を追加する場合は、組織連絡先 カードに、連絡先情報を記入します。

別の組織連絡先を使用するには、自動記入されたものを消去し、手動で追加します。

enhancement

EV 証明書オーダーについて 連絡先を追加 しやすくしました (EV SSL、セキュア・サーバ ID EV SSL、など)。これで、EV 証明書をオーダーするとき、EV 確認済連絡先情報がお使いのアカウントで利用できる場合は、お客様に代わり、当社で 確認済連絡先 カードに記入します。必要な場合、組織および技術連絡先を追加することができます。

  • お使いのアカウントに既存の組織を含む CSR を追加する場合、当社で 確認済連絡先 カードに、その組織に割り当てられた EV 確認済連絡先を記入します。
  • 既存の組織を手動で追加する場合は、確認済連絡先 カードに、その組織に割り当てられた EV 確認済連絡先を記入します。

確認済連絡先 の組織への割当は、組織を追加する上での前提条件ではありません。確認済連絡先情報が組織として利用できない例はある可能性があります。この場合は、確認済連絡先を手動で追加します。

2月 25, 2019

fix

[製品] 列ヘッダを使用して証明書タイプ別にオーダーを分類すると、結果が表示されない、[オーダー] ページ (サイドバーメニューで、[証明書] > [オーダー]の順でクリック) のバグを修正しました。

注記:この状態になると、オーダーの全リストを表示するには、別の列ヘッダ (例. [オーダー#]) をクリックするか、ページを一旦離れてからもう一度閲覧する必要がありました。

現在は、[オーダー] ページで、[製品] 列ヘッダを使用して、証明書タイプ別にオーダーのリストを分類することができます。

fix

いくつかのフォームでは、州フィールドが2回表示されるか、その情報には必要がない国が必要になるバグを修正しました。

現在、[請求連絡先を編集する],新しい発注書,および EV コード署名証明書 オーダー、再発行、および更新フォームで、州フィールドのみが1度表示され、その情報が必要ではない国については、州 / 都道府県 / 地域 フィールドが任意で表示されます。

[請求連絡先編集]フォーム

お使いのアカウントで請求連絡先を変更するには、サイドバーメニューで、[ファイナンス] > [設定] をクリックします。[請求連絡先]下の[ファイナンス設定]ページで、[編集] リンクをクリックします。お使いのアカウントについて請求連絡先をセットアップしていない場合は、[請求連絡先を変更する] リンクをクリックします。

compliance

お客様側で特に対応が必要なことはありません。

2019年2月13日現在、デジサートでは SHA-2 512 (SHA-512) の曲線ハッシュペア P-384 がある ECC TLS/SSL 証明書 (すなわち、ECDSA キー付き証明書) を発行していません。この曲線ハッシュペアは、Mozilla のルートストアポリシーに準拠していません。

Mozilla のルートストアポリシー がサポートしているのは、以下の曲線ハッシュペアのみです。

  • SHA-256 付き P‐256
  • SHA-384 付き P‐384

注記:SHA-512 曲線ハッシュペアのある P-384 付き証明書を持っていますか?心配ありません。証明書の更新時に、サポート対象の曲線ハッシュペアを使用して自動発行されます。

new

order_id を使用して、オーダーについて、現在の有効な証明書をダウンロードできる新しいエンドポイントを2つ追加しました。

これらのエンドポイントは、オーダーについて もっとも最近再発行の 証明書を取得するのみに使用できます。これらのエンドポイントは、複製証明書のダウンロードには使用できません。

複製証明書に関する注意事項

オーダーについて複製証明書をダウンロードするには、はじめに [オーダー複製を一覧表示する] エンドポイントを使用して、証明書の certificate_id – GET https://www.digicert.com/services/v2/order/certificate/{{order_id}}/duplicate を複製します。

次に、[証明書を取得する] エンドポイントを使用して、複製証明書をダウンロードします – GET https://www.digicert.com/services/v2/certificate/{{certificate_id}}/download/platform .

再発行証明書に関する注意事項

過去の再発行証明書 (現在の再発行ではないもの) をダウンロードするには、はじめに [オーダー再発行を一覧表示する] エンドポイントを使用して、再発行証明書の certificate_id -- GET https://www.digicert.com/services/v2/order/certificate/{{order_id}}/reissue を取得します。

次に、[証明書を取得する] エンドポイントを使用して、再発行証明書をダウンロードします – GET https://www.digicert.com/services/v2/certificate/{{certificate_id}}/download/platform .

API ドキュメントに関する注意事項

DigiCert Services API で利用できるこれらと他のエンドポイントについての詳細は、「CertCentral API」 を参照してください。

enhancement

DV 証明書サービスを強化。これで、DV 証明書オーダーを 更新 することができ、元のオーダー ID を保持できます。

以前は、 DV 証明書は、有効期限日に近づいたとき、有効期限が切れるオーダーのドメインについて新しい証明書をオーダーする必要がありました。

注記:DV 証明書は、ドメイン事前認証をサポートしていません。DV 証明書を更新する場合、更新オーダーでドメイン名の利用権を確認しなければなりません。

[DV 証明書登録] ガイドで、「DV 証明書の更新」 を参照してください。

new

当社では、新しい証明書プロファイルオプション、KDC/SmartCardLogon EKU を追加しました。これにより、,KDC と SmartCardLogon EKU (拡張キー使用法) を OV SSL/TLS 証明書に含めることが可能になりました。お使いのアカウントについて有効にした場合、[KDC/SmartCardLogon EKU (拡張キー使用法) フィールドを証明書に含める] オプションが、[追加証明書オプション] 下の SSL/TLS 証明書要求フォームに表示されます。

お使いのアカウントで証明書プロファイルを有効にするには、アカウント代理人に連絡するか、当社のサポートにお問い合わせください

注記:以前は、この機能は、DigiCert Services API (「CertCentral API」 を参照してください) のみで利用できました。

他の利用可能な証明書オプション

お使いのアカウントで有効になっている場合、これらのプロファイルオプションは、[追加証明書オプション]下の SSL/TLS 証明書要求フォームに表示されます。

  • Intel vPro EKU
    [Intel vPro EKU]フィールドを OV SSL/TLS 証明書に含めることができます。
  • HTTP Signed Exchange
    [CanSignHTTPExchanges]拡張子を OV と EV SSL/TLS 証明書に含めることができます(「Signed HTTP Exchange 付き AMP URL を改善する」 を参照してください)。
new

[中間]ページに代わる、新しい [認証局] ページを追加しました。この新しいページにアクセスするには、サイドバーメニューで、[証明書] > [認証局]の順でクリックします。

注記:このページでは、お使いのアカウントで利用可能な下記のすべての中間とルーツ証明書が一覧表示されます。パブリックとプライベート。

また、このページの一部改定も行っています。これで、証明書名リンクをクリックすると、証明書詳細パネル が開き、証明書をダウンロードでき、また証明書の署名ハッシュ、シリアル番号、およびサムプリントなど、詳細が表示できます。

enhancement

保留中の OV SSL と EV SSL 証明書オーダーんついて、[オーダー#] 詳細ページを強化しました。[組織詳細を確認する] 下の [デジサートで必要な操作]セクションで、,ここでは、各ステップ-完了か保留中のステータスとあわせて、組織認証に完了にする必要があるステップを一覧表示します (例. ビジネス場所確認を完了する、など)。

以前は、組織認証プロセスの高レベル概要のみ – 組織詳細を確認する – を提供し、組織の完全認証前にどのステップの完了が必要かについて詳細を提示することはありませんでした。

fix

選択した国にその情報が必要ではないときに(例えば、新しい組織あるいはクレジットカードを追加する)州/都道府県/地域フィールドが必須として表示される CertCentral 中のフォームのバグを修正しました。

注記:このバグは、お客様のこれらの取引の完了を妨害することはありませんでした。例えば、州/都道府県/地域フィールドに記入しても、しなくても、組織あるいはクレジットカードを追加することはできました。

現在、フォームの 州/都道府県/地域 フィールドは、取引の一部としてこの情報が必要ではない国については、任意とラベル表記されています。

注記:州または都道府県/地域の追加が必要な国は、米国とカナダのみです。

new

新しい [連絡先を追加する] 機能を OV SSL/TLS 証明書要求フォームに追加したことで、要求プロセス中 に単一 技術連絡先 と単一 組織連絡先 の追加が可能になりました。

以前は、OV SSL/TLS 証明書 (セキュア・サーバ ID や Multi-Domain SSL 証明書など) のオーダー時に連絡先を追加することはできませんでした。

注記:技術連絡先 は、オーダーの処理中に問題が発生した場合に、当社から連絡を取ることができる担当者です。組織連絡先 は、証明書の組織認証完了時に、当社から連絡を取ることができる担当者です。

enhancement

新しい [連絡先を追加する] 機能を EV SSL/TLS 証明書要求フォームに追加したことで、要求プロセス中 に単一 技術連絡先 と単一 組織連絡先 の追加が可能になりました。

以前は、EV SSL/TLS 証明書 (セキュア・サーバ ID EV や EV Multi-Domain SSL など) のオーダー時に確認済連絡先(EV 用)を追加することはできませんでした。

注記:技術連絡先 は、オーダーの処理中に問題が発生した場合に、当社から連絡を取ることができる担当者です。組織連絡先 は、証明書の組織認証完了時に、当社から連絡を取ることができる担当者です。

new

新しい[再発行をキャンセルする]機能を追加し、お客様が証明書の保留中の再発行をキャンセルできるようになりました。

[オーダー]ページ (サイドバーメニューで [証明書] > [オーダー]の順でクリック)で、[再発行保留中] 証明書要求を探し、そのオーダー番号リンクをクリックします。[証明書操作] ドロップダウンリストの[証明書詳細]セクション、[オーダー#]詳細ページで、[再発行をキャンセルする]を選択します。

注記:承認待ちの再発行済要求については、承認者は再発行要求を拒否することのみ可能です。発行済の証明書再発行については、管理者は証明書を失効にしなければなりません。

fix

標準ユーザーが SSL/TLS 証明書の [オーダー#] 詳細ページでドメイン名の利用権確認 (DCV) 機能にアクセスできないバグを修正しました。

注記:アカウント管理者とマネージャは、[オーダー#] 詳細ページで DCV 機能にアクセスでき、そのオーダーについて DCV を完了できます。

これで、標準ユーザーが新しいドメインに証明書をオーダーしたとき、[オーダー#] 詳細ページで DCV 機能にアクセスできます。

(サイドバーメニューで、 [証明書] > [オーダー]の順でクリックします。オーダーページで、保留中の証明書オーダーを探し、そのオーダー番号リンクをクリックします。[オーダー#] 詳細 ページで、ドメインリンクをクリックします。)