フィルタリング: DCV x 消去
new

CertCentral: DNS CNAME DCV method now available for DV certificate orders

In CertCentral and the CertCentral Services API, you can now use the DNS CNAME domain control validation (DCV) method to validate the domains on your DV certificate order.

Note: Before, you could only use the DNS CNAME DCV method to validate the domains on OV and EV certificate orders and when prevalidating domains.

To use the DNS CNAME DCV method on your DV certificate order:

  • In CertCentral:
    • When ordering a DV TLS certificate, you can select DNS CNAME as the DCV method.
    • On the DV TLS certificate's order details page, you can change the DCV method to DNS CNAME Record.
  • In the Services API:
    • When requesting a DV TLS certificate, set the value of the dcv_method request parameter to dns‑cname‑token.

Note: The AuthKey process for generating request tokens for immediate DV certificate issuance does not support the DNS CNAME DCV method. However, you can use the File Auth (http‑token) and DNS TXT (dns‑txt‑token) DCV methods. To learn more, visit DV certificate immediate issuance.

To learn more about using the DNS CNAME DCV method:

enhancement

CertCentral Services API: Improved List domains endpoint response

To make it easier to find information about the domain control validation (DCV) status for domains in your CertCentral account, we added these response parameters to domain objects in the List domains API response:

  • dcv_approval_datetime: Completion date and time of the most recent DCV check for the domain.
  • last_submitted_datetime: Date and time the domain was last submitted for validation.

For more information, see the reference documentation for the List domains endpoint.

compliance

Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)

To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.

To learn more about the industry change, see Domain validation policy changes in 2021.

How does this affect me?

As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:

  • Validate wildcard domains (*.example.com)
  • To include subdomains in the domain validation when validating the higher-level domain. For example, if you want to cover www.example.com, when you validate the higher-level domain, example.com.
  • Prevalidate entire domains and subdomains.

To learn more about the supported DCV method for DV, OV, and EV certificate requests:

compliance

CertCentral: Pending certificate requests and domain prevalidation using file-based DCV

Pending certificate request

If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.

*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.

To learn more about the supported DCV methods for DV, OV, and EV certificate requests:

Domain prevalidation

If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.

To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.

compliance

CertCentral Services API

If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).

enhancement

CertCentral Services API: Domain management enhancements

To make it easier to maintain active validation for domains in your account, we added new filters, response fields, and a new endpoint to our domain management APIs. With these updates, you can:

  • Find domains with OV and EV validation reuse periods that are expired or expiring soon.
  • Find domains affected by the September 27, 2021 policy change to shorten OV domain validation reuse periods.*

Enhanced APIs: List domains and List subaccount domains

We made the following enhancements to the List domains and List subaccount domains endpoints:

  • Added validation filter values
    On September 27, 2021*, existing OV domain validation reuse periods will shorten to 397 days from the date validation was completed. For some domains, the reduced validation period will have already expired, or will expire before the end of 2021.

    To help you find these domains so you can resubmit them for validation, we added a new value for the validation filter: shortened_by_industry_changes. We also added filter values to help you find domains with OV or EV domain validation periods that expire in different timeframes. The new validation filter values include:
    • shortened_by_industry_changes
    • ov_expired_in_last_7_days
    • ov_expiring_within_7_days
    • ov_expiring_within_30_days
    • ov_expiring_from_31_to_60_days
    • ov_expiring_from_61_to_90_days
    • ev_expired_in_last_7_days
    • ev_expiring_within_7_days
    • ev_expiring_within_30_days
    • ev_expiring_from_31_to_60_days
    • ev_expiring_from_61_to_90_days
  • Added fields to the dcv_expiration object
    You can now submit a request that returns the following fields in the dcv_expiration object: ov_shortened, ov_status, ev_status, and dcv_approval_date. These fields only return if your request includes the newly added query string filters[include_validation_reuse_status]=true.
  • Added dcv_method filter
    We added the option to filter domains by domain control validation (DCV) method. To use this filter, append the query string filters[dcv_method]={{value}} to the request URL. Possible values are email, dns-cname-token, dns-txt-token, http-token, and http-token-static.

Enhanced API: Domain info
You can now submit a request to the Domain info endpoint that returns the following fields in the dcv_expiration object: ov_shortened, ov_status, ev_status, and dcv_approval_date. These fields only return if your request includes the newly added query string include_validation_reuse_status=true.


New API: Expiring domains count

We added a new endpoint that returns the number of domains in your account with expired or expiring OV or EV domain validations. For more information, see Expiring domains count.

*On September 27, 2021, the expiration date for existing OV domain validations will shorten to 397 days from the date validation was completed. Learn more about this policy change: Domain validation changes in 2021.

new

これで複数年プランが利用できます

CertCentral と CertCentral Partners で複数年プランが利用できるようになりましたので、お知らせいたします。

DigiCert® 複数年プランでは、最長 6 年の SSL/TLS 証明書カバレッジの単一割引価格を支払うことができます。複数年プランでは、SSL/TLS 証明書、必要なカバレッジ期間(最長 6 年)、および証明書有効期間を選択します。プランの有効期限が切れたとき、有効期間終了になるごとに、無料で証明書を再発行します。

SSL/TLS 証明書の最長有効期間は、2020年9月1日をもって、825 日から 397 日になります。複数年プランで有効な証明書の有効期限が間もなく切れるとき、SSL/TLS カバレッジを維持するため、証明書を再発行します。

compliance

TLS 1.0 と 1.1 のブラウザサポートは終了しました

主要4つのブラウザは現在、トランスポート層セキュリティ (TLS) 1.0 と 1.1 についてサポートしていません。

必要な確認事項

この変更が、お使いのデジサート証明書に影響を及ぼすことはありません。お客様の証明書は、引き続き、通常どおり使用できます。

この変更により、ブラウザ型サービスおよび TLS 1.0 または 1.1 を利用するアプリケーションが影響を受けます。TLS 1.0 または 1.1 に対するブラウザのサポートが終了したため、旧システムでは、HTTPS 接続ができなくなります。

必要な対応方法

この変更の影響を受ける、およびお使いのシステムが TLS プロトコルの最新バージョンを使用している場合は、お使いのサーバ構成をできるかぎり早期に TLS 1.2 または TLS 1.3 にアップグレードしてください。

TLS 1.2 または 1.3 にアップグレードしない場合、お使いのウェブサーバ、システム、またはエージェントは、HTTPS を使用して、証明書と安全に通信できなくなります。

ブラウザ TLS 1.0/1.1 非推奨情報

Firefox 78、2020年6月30日リリース

Safari 13.1、2020年3月24日リリース

Chrome 84、2020年7月21日リリース

Edge v84、2020年7月16日リリース

役立つリソース

TLS を利用する独自システムは多岐にわたるため、すべてのアップグレードパスに対応することはできませんが、以下のレファレンスが役立つと思います。

enhancement

CertCentral Services API:エラーメッセージドキュメントを更新しました

Services API ドキュメントでは、エラー  ページを更新し、以下に関連するエラーメッセージの説明を含めました。

  • 即時 DV 証明書発行
  • ドメイン名の利用権確認(DCV)
  • 認証局認証 (CAA) リソースレコード チェック

今年初頭、DV 証明書オーダーと DCV 要求用の API を改善し、DCV、ファイル認証、DNS ルックアップ、または CAA リソース レコードチェックに失敗した場合に詳細なエラーメッセージが表示されるようにしました。これで、次のエラーメッセージの1つが届いた場合、エラーページで、他のトラブルシューティング情報をチェックできます。

その他詳細:

compliance

業界基準の変更

2019年7月31日 (19:30 UTC) 現在、証明書オーダーで IP アドレスの利用権を確認するには、HTTP 実際的証明 DCV 方法を使用する必要があります。

HTTP 実際的証明 DCV 方法についての詳細は、以下の説明を参照してください。

現在、IP アドレスの利用権を証明する他の DCV 方法の使用許可に使用する業界基準ただし、バロット SC7 のパスにより、IP アドレス認証の規則が変更になりました。

バロット SC7:IP アドレス認証方法を更新する

このバロットにより、証明書に記載の IP アドレスの顧客による利用権の認証の許可プロセスと手順が再定義されています。バロット SC7 への準拠変更は、2019年7月31日 (19:30 UTC) に発効となります。

2019年7月31日 (19:30 UTC) 現在で準拠を維持するため、デジサートは顧客に HTTP 実際的証明 DCV 方法を使用した IP アドレスの認証にかぎり許可しています。

Ipv6 サポートの削除

2019年7月31日 (19:30 UTC) 現在、デジサートは、IPv6 アドレスについての証明書のサポートを削除しました。サーバ上の制限により、デジサートは IPv6 アドレスを利用して、 HTTP 実際的証明 DCV 方法向けに顧客のウェブサイトに配置されたファイルを確認することはできません。

fix

SSL/TLS 証明書 [オーダー#] 詳細ページおよび [オーダー] 詳細パネルに証明書オーダーのドメイン認証終了後にドメイン名の利用権確認が完了済として表示されないバグを修正しました。

注記:このバグにより、ドメイン名の利用権確認の完了後に証明書オーダーが発行されるのが停止されませんでした。

現在、オーダーのドメイン名の利用権確認の完了時、そのオーダーの [オーダー# 詳細] ページと [オーダー詳細] パネルには、ドメイン認証が完了済として表示されます。

(サイドバーメニューで、[証明書 >オーダー]をクリックします。証明書オーダーの [オーダー#] 行の [オーダー] ページで、そのオーダー番号か、[クイックビュー] リンクをクリックします。)