Filtrando por: industry changes x limpar
compliance

OV code signing certificates requirements are changing

Starting on November 15, 2022, at 00:00 UTC, industry standards will require private keys for OV code signing certificates to be stored on hardware certified as FIPS 140 Level 2, Common Criteria EAL 4+, or equivalent. This change strengthens private key protection for code signing certificates and aligns it with EV (Extended Validation) code signing certificate private key protection. See Code Signing Baseline Requirements, current version

How do these new requirements affect my code signing certificate process? 

The new private storage key requirement affects code signing certificates issued from November 15, 2022, and impacts the following parts of your code signing process: 

  • Private key storage and certificate installation
    Certificate Authorities (CAs) can no longer support browser-based key generation and certificate installation or any other process that includes creating a CSR (Certificate Signing Request) and installing your certificate on a laptop or server. Private keys and certificates must be stored and installed on tokens or HSMs (hardware security modules) certified as at least FIPS 140-2 Level 2 or Common Criteria EAL 4+.
  • Signing code 
    To use a token-based code signing certificate, you need access to the token or HSM and the credentials to use the certificate stored on it.
  • Ordering and renewing certificates 
    When ordering and renewing an OV code signing certificate, you must select the hardware you want to store the private key on: a DigiCert-provided hardware token, your own supported hardware token, or a hardware security module (HSM).
  • Reissuing certificates
    When reissuing code signing certificates, you must install the certificate on a supported hardware token or HSM. If you do not have a token, you can purchase a token from DigiCert at that time. 

Want to eliminate the need for individual tokens? 

Transition to DigiCert® Secure Software Manager to improve your software security with code-signing workflow automation that reduces points of vulnerability with end-to-end company-wide security and control in the code signing process—all without slowing down your process. 

Key capabilities: 

  • HSM key storage—industry compliant 
  • Policy enforcement 
  • Centralized management
  • Integration with CI/CD pipelines 
  • And more 

To learn more about how DigiCert Secure Software Manager has helped other organizations, see our case study Automated Signing Speeds Build Times While Improving the User Experience

compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

compliance

A DigiCert para parar de emitir certificados de assinatura de código SHA-1

Na terça-feira, 1 de dezembro de 2020 MST, A DigiCert deixará de emitir certificados de assinatura de código SHA-1 e de assinatura de código SHA-1 EV.

Observação: Todos os certificados de assinatura de código SHA-1/assinatura de código EV existentes permanecerão ativos até que expirem.

Por que a DigiCert está fazendo essas alterações?

Para estar em conformidade com os novos padrões da indústria, as autoridades de certificação (CAs) devem fazer as seguintes alterações até 1º de janeiro de 2021:

  • Pare de emitir certificados de assinatura de código SHA-1
  • Pare de usar certificados SHA-1 CA intermediário e SHA-1 raiz para emitir certificados de assinatura de código de algoritmo SHA-256 e carimbo de data/hora

Consulte o Anexo A nos Requisitos básicos para a emissão e gerenciamento de certificados de assinatura de código de confiança pública.

Como as alterações do certificado de assinatura de código SHA-1 me afetam?

Se você depende de certificados de assinatura de código SHA-1, execute estas ações conforme necessário antes de 1º de dezembro de 2020:

  • Obtenha seus novos certificados SHA-1
  • Renove seus certificados SHA-1
  • Emita novamente e obtenha os certificados SHA-1 necessários

Para obter mais informações sobre as alterações de 1º de dezembro de 2020, consulte nosso artigo da base de conhecimento DigiCert para parar de emitir certificados de assinatura de código SHA-1.

Se você tiver dúvidas adicionais, entre em contato com o gerente da sua conta ou com nossa equipe de suporte.

compliance

A DigiCert irá parar de emitir certificados SSL/TLS públicos de 2 anos

Em 27 de agosto de 2020, 17:59 MDT (23:59 UTC), A DigiCert irá parar de emitir certificados SSL/TLS públicos de 2 anos para se preparar para as mudanças da indústria para a validade máxima permitida para certificados SSL/TLS públicos.

Após o prazo final de 27 de agosto, você só pode comprar certificados SSL/TLS públicos de 1 ano.

O que preciso fazer?

Para garantir que você obtenha os certificados SSL/TLS públicos de 2 anos necessários antes do prazo final de 27 de agosto:

  • Faça um inventário dos certificados necessários de 2 anos - novos e renovações.
  • Solicite os certificados de 2 anos necessários antes de 13 de agosto.
  • Responda a quaisquer solicitações de validação de domínio e organização em tempo hábil.

Para saber como essa mudança afetará pedidos de certificados pendentes, reemissões e duplicatas, consulte Fim dos certificados SSL/TLS públicos de DV, OV e EV de 2 anos.

API de serviços da DigiCert

Para aqueles que usam a API DigiCert Services, você precisará atualizar seus fluxos de trabalho da API para considerar a nova validade máxima do certificado de 397 dias para solicitações feitas após o prazo final de 27 de agosto. Consulte API de serviços.

Após 27 de agosto de 2020

Depois de 27 de agosto, você só poderá adquirir certificados SSL/TLS públicos de 1 ano. No entanto, para maximizar sua cobertura SSL/TLS, adquira seus novos certificados com um plano plurianual DigiCert®. Veja Planos plurianuais.

Por que a DigiCert está fazendo essa mudança?

Em 1º de setembro de 2020, a indústria se despede dos certificados de 2 anos. No futuro, as Autoridades de Certificação (CA) só podem emitir certificados públicos DV, OV e EV SSL/TLS com validade máxima de 398 dias (aproximadamente 13 meses).

A DigiCert implementará uma validade máxima de 397 dias para todos os certificados SSL/TLS públicos como uma proteção para compensar as diferenças de fuso horário e evitar a emissão de um certificado SSL/TLS público que exceda o novo requisito de validade máxima de 398 dias.

Confira nosso blog para saber mais sobre a transição para certificados SSL/TLS públicos de 1 ano: Certificados Public-Trust SSL de um ano: O DigiCert está aqui para ajudar.