Change log | docs.digicert.com

Julho 5, 2022

CertCentral: Improved Order details page

DigiCert is happy to announce that we improved the layout and design of the Order details page.

We took your feedback and updated the Orders page to make managing your certificates and orders easier throughout their lifecycle.

When we reorganized the information on the Order details page, we didn’t remove anything. So, everything you did before the updates, you can still do now. However, there are a few things you asked for that you can do now that you couldn’t do before.

Summary of changes:

We added new banners, alerts, and icons to help you better understand the actions you need to take on your certificates and orders.
We added a Certificate history tab to the Order details page. Now, you can view and interact with all the certificates associated with the order: reissues, duplicates, expired, and revoked.
We added the ability to revoke an individual certificate or all the certificates on the order.
We also updated the Orders page to add Certificate and Order alert banners, advanced search features, and columns in the orders list.
These changes do not affect Guest access. When accessing an order via guest access, you will not see any of the updates.

See the changes for yourself. In your CertCentral account, in the left main menu, go to Certificates > Orders.

Want to provide feedback?

The next time you are in your CertCentral account, locate the “d” icon in the lower right corner of the page (white “d” in a blue circle) and click it. Use the Share Your Feedback feature to let us know your thoughts on the changes. And don’t hesitate to provide feedback about other CertCentral pages and functionality.

Maio 18, 2022

key generation KeyGen tool code signing certificates OV code signing client certificates Keygen

CertCentral: DigiCert KeyGen, our new key generation service

DigiCert is happy to announce our new key generation service—KeyGen. Use KeyGen to generate and install your client and code signing certificates from your browser. KeyGen can be used on macOS and Windows and is supported by all major browsers.

With KeyGen, you don't need to generate a CSR to order your client and code signing certificates. Place your order without a CSR. Then after we process the order and your certificate is ready, DigiCert sends a "Generate your Certificate" email with instructions on using KeyGen to get your certificate.

How does KeyGen work?

KeyGen generates a keypair and then uses the public key to create a certificate signing request (CSR). KeyGen sends the CSR to DigiCert, and DigiCert sends the certificate back to KeyGen. Then KeyGen downloads a PKCS12 (.p12) file to your desktop that contains the certificate and the private key. The password you create during the certificate generation process protects the PKCS12 file. When you use the password to open the certificate file, the certificate gets installed in your personal certificate store.

To learn more about generating client and code signing certificates from your browser, see the following instructions:

Fevereiro 1, 2022

bug fix csr code signing certificates VMC Verified Mark Certificates trademark offices CertCentral Keygen

Verified Mark Certificates (VMC): Three new approved trademark offices

We are happy to announce that DigiCert now recognizes three more intellectual property offices for verifying the logo for your VMC certificate. These new offices are in Korea, Brazil, and India.

New approved trademark offices:

Other approved trademark offices:

What is a Verified Mark Certificate?

Verified Mark Certificates (VMCs) are a new type of certificate that allows companies to place a certified brand logo next to the “sender” field in customer inboxes.

Your logo is visible before the message is opened.
Your logo acts as confirmation of your domain’s DMARC status and your organization’s authenticated identity.

Learn more about VMC certificates.

Bugfix: Code Signing (CS) certificate generation email sent only to CS verified contact

We fixed a bug in the Code Signing (CS) certificate issuance process where we were sending the certificate generation email to only the CS verified contact. This bug only happened when the requestor did not include a CSR with the code signing certificate request.

Now, for orders submitted without a CSR, we send the code signing certificate generation email to:

Certificate requestor
CS verified contact
Additional emails included with the order

Note: DigiCert recommends submitting a CSR with your Code Signing certificate request. Currently, Internet Explorer is the only browser that supports keypair generation. See our knowledgebase article: Keygen support dropped with Firefox 69.

Maio 27, 2021

industry standards root certificates certificate signing request reissued certificates new certificates 3072-bit eToken ECC renewed certificates HSM code signing certificates RSA intermediate CA certificates ev code signing certificates industry changes

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

Stop issuing 2048-bit key code signing certificates
Only issue 3072-bit key or stronger code signing certificates
Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

Order new 2048-bit key certificates
Renew expiring 2048-bit key certificates
Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
DigiCert Trusted Root G4

ECC ICA and root certificates:

DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

To learn more about the Code Signing certificate changes, see Code signing changes in 2021.
To get a copy of the new intermediate CA and root certificates, see DigiCert Trusted Root Authority Certificates

If you have questions or concerns, please contact your account manager or our support team.

Dezembro 1, 2020

industry changes reissued certificates renewal code signing certificates intermediate CA certificates ev code signing certificates compliance SHA-1 SHA-2

A DigiCert para parar de emitir certificados de assinatura de código SHA-1

Na terça-feira, 1 de dezembro de 2020 MST, A DigiCert deixará de emitir certificados de assinatura de código SHA-1 e de assinatura de código SHA-1 EV.

Observação: Todos os certificados de assinatura de código SHA-1/assinatura de código EV existentes permanecerão ativos até que expirem.

Por que a DigiCert está fazendo essas alterações?

Para estar em conformidade com os novos padrões da indústria, as autoridades de certificação (CAs) devem fazer as seguintes alterações até 1º de janeiro de 2021:

Pare de emitir certificados de assinatura de código SHA-1
Pare de usar certificados SHA-1 CA intermediário e SHA-1 raiz para emitir certificados de assinatura de código de algoritmo SHA-256 e carimbo de data/hora

Consulte o Anexo A nos Requisitos básicos para a emissão e gerenciamento de certificados de assinatura de código de confiança pública.

Como as alterações do certificado de assinatura de código SHA-1 me afetam?

Se você depende de certificados de assinatura de código SHA-1, execute estas ações conforme necessário antes de 1º de dezembro de 2020:

Obtenha seus novos certificados SHA-1
Renove seus certificados SHA-1
Emita novamente e obtenha os certificados SHA-1 necessários

Para obter mais informações sobre as alterações de 1º de dezembro de 2020, consulte nosso artigo da base de conhecimento DigiCert para parar de emitir certificados de assinatura de código SHA-1.

Se você tiver dúvidas adicionais, entre em contato com o gerente da sua conta ou com nossa equipe de suporte.

Março 31, 2020

code signing certificates Microsoft driver packages kernel-mode Policy changes compliance

Microsoft está encerrando suporte para assinaturas digitais de terceiros do pacote driver de modo kernel

O processo para assinar os seus pacotes de driver de modo kernel está mudando. Começando em 2021, a Microsoft será a única provedora de assinaturas de código do modo kernel de produção. Será necessário começar a seguir instruções atualizadas da Microsoft para assinar qualquer pacote novo de driver do modo kernel. Veja Centro do parceiro para Windows Hardware.

O que a DigiCert está fazendo sobre isso?

Como uma primeira etapa neste processo, a DigiCert removeu a opção da plataforma Microsoft Kernel-Mode Code dos formulários de solicitação de certificados de Assinatura de Código: novo, re-emitir e renovar.

Isso significa que, no futuro, não será possível pedir, re-emitir ou renovar um certificado de assinatura de código para a plataforma do modo kernel.

Como isso afeta meu certificado de assinatura de código do modo kernel existente?

É possível continuar usando os seus certificados existentes para assinar pacotes do driver de modo kernel até que a raiz assinada a que ele está atrelado expire. Certificados raiz assinados da marca DigiCert expiram em 2021.

Para mais detalhes, veja o nosso artigo, Microsoft encerrando suporte para certificados raiz com capacidades de assinatura de modo kernel.

Março 16, 2020

cancel order bug fix resend certificate generation email code signing certificates domain validation management Edit organization details division preferences domain validation scope enhancement New feature

CertCentral: Gestão da validação de domínios para todos os tipos de contas

Estamos felizes em anunciar que todas as contas da CertCentral agora vêm com gestão de validação de domínios por padrão. Agora, todos os tipos de contas têm acesso a estes recursos de gestão de domínios:

Adicionar domínios diretamente à sua conta
Envie seus domínios para pré-validação*
Gerenciar validações de cada domínio: Certificados EV e OV
Ativar e desativar domínios

Para usar os novos recursos de gestão de validação de domínios, visite a página Domínios (no menu principal à esquerda, visite Certificados > Domínios).

*Para mais informações sobre enviar domínios para pré-validação, veja Pré-validação do domínio.

Observação: Anteriormente, apenas contas Enterprise e Partner tinham a capacidade de enviar domínios para pré-validação e gerenciar validações de seus domínios (validação de controle do domínio).

CertCentral: Configurações do escopo de validação do domínio aplicáveis apenas a pedidos TLS

Na página Preferências da divisão, em Validação de Controle do Domínio (DCV), atualizamos as configurações do Escopo de validação do domínio: Enviar domínio exato para validação e Enviar domínios base para validação. Estas configurações atualizadas lhe permitem definir o comportamento padrão da validação do domínio ao enviar novos domínios através do processo de pedidos de certificados TLS: EV, OV e DV. Estas configurações não são mais aplicáveis ao processo de pré-validação do domínio.*

Enviar nomes de domínios exatos para validação
Ao validar novos domínios através do processo de pedidos, domínios e subdomínios são enviados para validação exatamente como nomeados. Uma solicitação de validação de domínio para sub2.sub1.exemplo.com é enviada para validação como sub2.sub1.exemplo.com.
Enviar domínios de base para validação
Ao validar novos domínios através do processo de pedidos, novos domínios e subdomínios são enviados para validação no nível do domínio de base. Uma solicitação de validação de domínio para sub2.sub1.exemplo.com é enviada para validação como exemplo.com. Lembre-se, validar um domínio de base também valida todos os subdomínios para aquele domínio de base.

*Como estas alterações afetam o processo de validação do domínio?

Ao enviar domínios para pré-validação, é possível validar um domínio em qualquer nível, base ou qualquer um dos subdomínios de nível mais baixo: exemplo.com, sub1.exemplo.com, sub2.sub1.exemplo.com, etc. Veja Pré-validação de domínios.

A opção "Reenviar e-mail de criação do certificado" para pedidos de certificados de Assinatura de Código gerados por navegador

Adicionamos uma opção Reenviar e-mail de criação do certificado ao nosso processo de certificados de Assinatura de Código para pedidos em que o certificado é gerado em um navegador suportado: IE 11, Safari, Firefox 68, e Firefox portátil.

Agora, quando um pedido de certificado de assinatura de código tem o status Enviado por e-mail para o Destinatário, é possível reenviar o e-mail de geração do certificado.

Para mais informações, veja Reenviar o e-mail "Crie seu Certificado de Assinatura de Código da DigiCert".

Corrigimos um bug impedindo que a opção Cancelar pedido apareça para pedidos de certificados de Assinatura de Código (CS) com um status de Enviado por e-mail para o Destinatário. Nos detalhes do Pedido, a opção Cancelar pedidos estava ausente do menu suspenso Ações do certificado.

Observação: Para cancelar o pedido, era necessário contatar a nossa equipe de suporte.

Agora, para cancelar um pedido de certificado de assinatura de código (CS) com o status Enviado por e-mail para o Destinatário, visite a página de detalhes do Pedido para o certificado e cancele o pedido.

Para mais informações, Cancele um pedido de certificado.

CertCentral: Editar detalhes da organização

Adicionamos um novo recurso ao processo de gestão da organização na CertCentral—Editar detalhes da organização. Agora, para atualizar informações da organização, visite a página de detalhes da Organização para tal organização e clique em click Editar organização.

O que você precisa fazer antes de editar os detalhes de uma organização

Alterar os detalhes da organização para uma organização validada nega toda validação existente para a organização. Isto não pode ser desfeito. Isso significa que a DigiCert precisará validar a organização "atualizada/nova" antes que seja possível emitir certificados para ela. Antes de começar, certifique-se de entender e aceitar o que acontece quando você altera os detalhes de uma organização.

Para mais informações, consulte Editar detalhes da organização.

Setembro 3, 2019

code signing certificates compliance client certificates Keygen Firefox Emailed to Recipient Expiring Certificates

Firefox encerrando suporte para geração de chaves

Com o lançamento do Firefox 69, a Firefox finalmente encerrará o suporte para Keygen. Firefox usa Keygen para facilitar a geração de material de chaves para enviar a chave pública ao gerar certificados de Assinatura de Código, Cliente e SMIME em seu navegador.

Observação: Chrome já encerrou suporte para geração de chaves, e o Edge e Opera nunca a suportaram.

Como isso lhe afeta?

Após a DigiCert emitir os seus certificados de Assinatura de Código, Cliente ou SMIME, enviamos um e-mail com um link para criar e instalar o seu certificado.

Depois do lançamento do Firefox 69, você só poderá usar dois navegadores para gerar estes certificados: Internet Explorer e Safari. Se a política da empresa exige o uso do Firefox, você pode usar o Firefox ESR ou uma cópia portátil do Firefox.

Para mais informações, veja Suporte Keygen a ser encerrado com o Firefox 69.

Dicas e truques

Ainda é possível usar o Firefox 69 para autenticação do cliente. Primeiro, gere o certificado SMIME no IE 11 ou Safari. Depois, importe o certificado SMIME no Firefox.
Para ignorar a geraçao de certificados de Assinatura de Código, Cliente ou SMIME no seu navegador, gere e envie um CSR com o seu pedido. Em vez de um link, a DigiCert enviará um e-mail com o seu certificado em anexo.

Adicionamos um novo status, Enviado por e-mail para o Destinatário, às páginas Pedidos e Detalhes do Pedido, para pedidos de certificados de Assinatura de Código e do Cliente, facilitando identificar onde estes pedidos se encontram no processo de emissão.

Este novo status indica que a DigiCert validou o pedido, e o certificado está aguardando o usuário/destinatário do e-mail gerá-lo em um dos navegadores suportados: IE 11, Safari, Firefox 68, e Firefox portátil.

(No menu da barra lateral, clique em Certificados > Pedidos. Depois, na página Pedidos, clique no número do pedido para o pedido de certificado de Assinatura de Código ou Cliente.)

Atualizamos os nossos processos de re-emissão de certificados Validação estendida (EV) Assinatura de Código (CS) e Assinatura do Documento (DS), permitindo que você reemita estes certificados sem automaticamente revogar o certificado atual (certificado original ou anteriormente reemitido).

Observação: Se você não precisa do certificado atual (original ou anteriormente reemitido), será necessário contatar o suporte para que possam revogá-lo para você.

Agora, na próxima vez que re-emitir um certificado EV CS ou DS, é possível manter o certificado anteriormente emitido ativo pelo seu período de validade atual (ou por quanto tempo for necessário).

Abril 18, 2019

SHA1 certcentral-ui code signing certificates enhancement

A DigiCert continuará o suporte à assinatura de SHA1 para certificados de Assinatura de Código. Estamos removendo a restrição máxima de expiração de 30 de dezembro de 2019.