1월 22, 2020
Discovery: Account setting for discovered certificate renewal notifications
In Discovery, we added a new account setting, Turn on discovered certificate renewal notifications, enabling you to receive renewal notifications for your expiring "discovered" SSL/TLS certificates. These renewal notifications include the option to renew your SSL/TLS certificate with us. When renewing a "discovered" SSL/TLS certificate in CertCentral, we'll replace it with an equivalent DigiCert certificate.
By default, renewal notices for discovered certificates are turned off for a CertCentral account*. To start receiving renewal notices for your expiring discovered certificates, go to Settings > Preferences. In the Certificate Renewal Settings section, check Turn on discovered certificate renewal notifications.
*Note: With the roll out of this new setting, you may need to turn Discovery renewal notifications back on for your account.
To learn more, see Discovery renewal notices.
12월 10, 2019
Discovery Cloud-scan service
We've added a new feature to Discovery—Cloud-scan service—that uses a cloud-based sensor to find your public facing SSL/TLS certificates regardless of issuing Certificate Authority (CA).
Discovery Cloud-scan is a free cloud service so there is nothing to install or manage. You can start scanning immediately to find your public SSL/TLS certificates. There is no limit to the number of cloud-based scans you can run.
Cloud-scan runs every 24 hours and use the most recently saved scan configuration. Cloud-scan provides detailed information about the certificates found and the endpoints where those certificates are installed.
Note: This is the open beta for the Cloud-scan service.
To get started, in the left main menu, go to Discovery > Manage Discovery. On the Manage scans page, click Single cloud scan. To learn more, see Discovery Cloud-scan service.
11월 21, 2019
Discovery: Renewal notifications for non-DigiCert SSL/TLS certificates
In Discovery, we added renewal notifications for non-DigiCert certificates, making it easier to manage all your SSL/TLS certificates in one place—CertCentral. Now, when Discovery finds non-DigiCert certificates, we'll send renewal notifications for these certificates regardless of issuing Certificate Authority (CA).
Note: When renewing a non-DigiCert SSL/TLS certificate in CertCentral, we'll replace it with the equivalent DigiCert certificate. For example, we'll replace a non-DigiCert single-domain SSL certificate with a DigiCert single-domain SSL certificate.
Who receives these renewal notifications?
By default, Discovery sends renewal notifications for non-DigiCert SSL/TLS certificates to the primary CertCentral administrator—the individual who created the account and receives all account notifications.
We also send renewal notifications to any additional email addresses assigned to receive account notifications. See Set up account email notifications and Certificate renewal notifications.
When are these renewal notifications sent?
Discovery uses your CertCentral renewal notification settings to determine when to send renewal notifications for non-DigiCert certificates. By default CertCentral sends renewal notifications 90, 60, 30, 7, and 3 days before a certificate expires and 7 days after a certificate expires.
To customize your renewal notifications schedule, see Certificate renewal notifications.
Discovery: Customize non-DigiCert SSL/TLS certificate renewal notification process
In Discovery, on the Certificates page, we added three new certificate renewal actions to the Actions column dropdown for non-DigiCert certificates: Disable renewal notices, Enable renewal notices, and Renewal notifications. Renewal notifications allows you to add email addresses to receive renewal notifications for a certificate.
On the Certificates page, you can now update your non-DigiCert certificate renewal process to fit your certificate needs. (In the left main menu, go to Discovery > View Results.)
Note: By default, Discovery sends renewal notifications for all discovered non-DigiCert SSL/TLS certificates.
To customize renewal notifications for non-DigiCert SSL/TLS certificates, see Discovery renewal notices.
11월 8, 2019
We are happy to announce a new addition to the DigiCert Developers portal—Discovery API. We just published our first set of Discovery API endpoints. More will follow as we continue to build out the Discovery API documentation.
Why use it?
- Access Discovery features without signing into your CertCentral account.
- Customize the Discovery experience to meet the needs of your organization.
- Integrate with your existing tools.
Sample of endpoints you can start using now:
- List endpoints
- View endpoint rating
- List certificates
- View certificate details
- View certificate rating
- Download certificate
Tips and Tricks
- Discovery API uses this base URL:
https://daas.digicert.com/apicontroller/v1/ - Discovery API requires admin or manager level permissions.
10월 28, 2019
In Discovery, we added a new feature—Add root and intermediate CAs—that lets you upload public and private root and intermediate CAs. Use this feature to get more accurate security ratings for certificates chained to them.
If Discovery is unable to locate the root and intermediate CAs for a certificate, it down grades the certificate's security rating. By uploading a copy of the certificate's intermediate and root CAs, the next time Discovery runs a scan that includes that certificate, you'll get a more accurate rating.
Note: Supported certificate formats: .der and .cer
In CertCentral, in the left main menu, click Discovery > Manage Discovery. On the Manage scans page, in the More actions dropdown, click Manage root and intermediate CAs. See Add public and private root and intermediate CAs in our Discovery user guide.
In Discovery, we added a new Blacklist feature that lets you exclude specific IP addresses and FQDNs from your scan results. For example, you may want to blacklist a domain in your CDN network.
Note: When you blacklist an IP address or FQDN, its information is excluded from all future account Discovery scans. This feature does not remove information from existing scan results.
In CertCentral, the left main menu, click Discovery > Manage Discovery. On the Manage scans page, in the More actions dropdown, click Manage blacklist. See Blacklist IP addresses and FQDNs in our Discovery user guide.
7월 17, 2019
Discovery에 스캔 설정에 구성된 암호화 제품/기능 옵션을 추가하여 서버에 사용되는 암호화 제품/기능을 확인할 수 있습니다. 스캔을 추가 또는 편집할 때 스캔할 대상 선택을 선택하면 이 옵션은 설정 섹션에 위치합니다. 스캔 설정 및 실행 또는 스캔 편집을 참조하십시오.
스캔이 완료되면 암호화 제품/기능 정보가 서버 상세 정보 페이지의 서버 상세 정보 섹션에 나열됩니다. (사이드바 메뉴에서 Discovery > 결과 보기를 클릭합니다. 인증서 페이지에서 엔드포인트 보기를 클릭합니다. 엔드포인트 페이지에서 엔드포인트의 IP 주소 /FQDN 링크를 클릭합니다. 다음으로 서버 상세 정보 페이지의 서버 상세 정보 섹션에서 암호화 보기 링크를 클릭합니다.)
업데이트 참고: 새 구성된 암호화 제품/기능을 스캔 옵션은 최신 센서 버전 (3.7.7)에서 사용 가능합니다. 센서 업데이트가 완료된 후에 스캔 설정을 편집하고, 스캔할 사항을 선택하고, 구성된 암호화 제품/기능을 스캔을 확인한 후에, 스캔을 다시 실행합니다.
7월 16, 2019
Discovery에서 STS(Strict-Transport-Security) 보안 헤더에 대한 등급 시스템을 업데이트했습니다. 이제는 HTTP 200 요청에 대한 STS만 확인하며 HTTP 301 요청에 대해서는 무시합니다. 웹사이트에 STS(Strict-Transport-Security) 보안 헤더가 누락되었거나 설정이 잘못된 경우에만 서버를 위험한 것으로 간주합니다. 이런 경우, 서버를 "위험함[At Risk]"으로 등급을 정합니다.
이전에는 HTTP 301 요청에 대한 STS를 확인하고 STS(Strict-Transparent-Security) 보안 헤더가 없는 경우에만 서버를 위험한 것으로 간주합니다. 이런 경우, 서버를 "안전하지 않음[Not secure]"으로 등급을 정합니다.
보안 헤더 결과를 보려면 엔드포인트의 서버 상세 정보 페이지를 방문합니다. 사이드바 메뉴에서 Discovery > 결과 보기를 클릭합니다. 인증서 페이지에서 엔드포인트 보기를 클릭합니다. 엔드포인트 페이지에서 엔드포인트의 IP 주소 / FQDN 링크를 클릭합니다.
업데이트 참고: 업데이트된 STS 등급 시스템이 최신 센서 버전 -3.7.7에서 사용 가능합니다. 센서 업데이트가 완료된 후에 스캔을 다시 실행하여 업데이트된 STS 등급을 확인합니다.
7월 2, 2019
SAML SSO(Single Sign-On)의 CertCentral과 통합에 대한 사용자 초대 워크플로를 개선하여 계정 사용자 초대를 보내기 전에 SSO 전용 사용자를 초대 대상자로 지정할 수 있게 했습니다. 이제 새 사용자 초대 팝업 창에서 SAML SSO(Single Sign-On) 전용 옵션을 사용하여 초대 대상자를 SAML SSO 전용으로 제한할 수 있습니다.
참고: 이 옵션은 이 사용자들에 대한 모든 다른 인증 방법을 사용 중지합니다. 추가적으로 이 옵션은 CertCentral 계정에 대해 SAML을 사용하는 경우에만 나타납니다.
(사이드바 메뉴에서 계정 > 사용자 초대를 클릭합니다. 사용자 초대 페이지에서 새 사용자 초대를 클릭합니다. SAML SSO: 사용자를 계정에 참가하도록 초대를 참조하십시오.)
간소화된 등록 양식
SSO 전용 사용자 등록 양식도 간소화하여, 암호 및 본인 확인 질문 요구 사항을 제거했습니다. 이제 SSO 전용 초대 대상자는 이들의 개인 정보만 추가할 필요가 있습니다.
계정의 CertCentral 대시보드에서 Discovery 인증서 스캔 결과를 보는 것을 쉽게 하여 만료되는 인증서 발견됨, 인증서 발급자, 및 등급으로 분석한 인증서 위젯을 추가했습니다.
각 위젯은 대화형 차트를 포함하여 만료되는 인증서(예, 8~15일 후에 만료되는 인증서), 발급 CA별 인증서(예, DigiCert) 및 보안 등급별 인증서(예, 안전하지 않음)에 대한 더 많은 정보를 쉽게 찾을 수 있게 했습니다.
Discovery에 대한 자세한 정보
Discovery는 센서를 사용하여 네트워크를 스캔합니다. 스캔은 CertCentral 계정 내부에서 중앙집중식으로 구성 및 관리합니다.
- CertCentral 계정에서 Discovery를 활성화하려면 계정 매니저에게 연락하거나 저희 지원 팀에게 연락하십시오.
- Discovery를 설정하고 실행하는 자세한 정보는 Discovery: 센서 설치 및 작동하기를 참조하십시오.
DigiCert 서비스 API의 주문 정보 엔드포인트를 업데이트하여 인증서가 요청된 방식을 볼 수 있습니다. 서비스 API 또는 ACME 디렉토리 URL을 통해서 요청된 인증서에는 새 응답 매개 변수를 반환합니다: api_key. 이 매개 변수는 키 이름과 함께 키 유형 (API 또는 ACME)을 포함합니다.
참고: 다른 방법(예, CertCentral 계정, 게스트 요청 URL 등)을 통해 요청한 주문은 응답에서 api_key 매개 변수를 생략합니다.
이제 주문 상세 정보를 확인할 때에 API 또는 ACME 디렉터리 URL을 통해 요청된 주문에 대한 응답에서 새 api_key 매개 변수를 볼 수 있습니다.
GET https://dev.digicert.com/services-api/order/certificate/{order_id}
응답:
주문 페이지에 새 검색 필터 요청 경로[Requested via]를 추가하여 특정 API 키 또는 ACME 디렉터리 URL을 통하여 요청된 인증서 주문을 검색할 수 있습니다.
![요청 경로[Requested via]](https://docs.digicert.com/media/images/orders-page-requested-via-filter-1.original.png){kind=link}
이제 주문 페이지에서 요청 경로 필터를 사용하여 특정 API 키 또는 ACME 디렉터리 URL을 통한 활성, 만료된, 해지된, 거부된, 대기 중 재발급, 대기 중 및 복제 인증서 요청을 찾을 수 있습니다.
(사이드바 메뉴에서 인증서 > 주문을 클릭합니다. 주문 페이지에서 고급 검색 표시를 클릭합니다. 다음으로 요청 경로[Requested via] 드롭다운에서 API 키 또는 ACME 디렉터리 URL 이름을 선택하거나 상자에 이름을 입력합니다.)
5월 24, 2019
CertCentral 포트폴리오에 전체 SSL/TSL 인증서 상황의 실시간 분석을 제공하는 새 도구 Discovery를 추가했습니다.
인증서를 발급하는 CA(인증 기관)에 관계없이 내부 및 공개 SSL/TSL 인증서를 빠르게 찾도록 설계된 Discovery는 인증서 구성 및 구현에서 문제점과 엔드포인트 구성에서 인증서 관련 취약성을 식별합니다.
참고: Discovery는 센서를 사용하여 네트워크를 스캔합니다. 센서는 작은 소프트웨어 애플리케이션으로 전략적인 위치에 설치합니다. 각 스캔은 한 개의 센서에 연결되어 있습니다.
스캔은 CertCentral 계정 내부에서 중앙집중식으로 구성 및 관리합니다. 스캔 결과는 CertCentral 내부의 직관적 대화형 대시보드에 표시됩니다. 스캔을 한 번 또는 설정된 일정으로 여러 번 실행하도록 구성합니다.
- CertCentral 계정에서 Discovery를 활성화하려면 계정 매니저에게 연락하거나 저희 지원 팀에게 연락하십시오.
- Discovery를 설정하고 실행하는 자세한 정보는 Discovery: 센서 설치 및 작동하기를 참조하십시오.