Maio 27, 2021
Industry moves to 3072-bit key minimum RSA code signing certificates
Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.
- Stop issuing 2048-bit key code signing certificates
- Only issue 3072-bit key or stronger code signing certificates
- Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.
See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,
How do these changes affect my existing 2048-bit key certificates?
All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.
What if I need 2048-bit key code signing certificates?
Take these actions, as needed, before May 27, 2021:
- Order new 2048-bit key certificates
- Renew expiring 2048-bit key certificates
- Reissue 2048-bit key certificates
How do these changes affect my code signing certificate process starting May 27, 2021?
Reissues for code signing certificate
Starting May 27, 2021, all reissued code signing certificates will be:
- 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
- Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.
New and renewed code signing certificates
Starting May 27, 2021, all new and renewed code signing certificates will be:
- 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
- Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.
CSRs for code signing certificates
Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.
eTokens for EV code signing certificates
Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.
- When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
- When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
- You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.
HSMs for EV code signing certificates
Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.
New ICA and root certificates
Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).
RSA ICA and root certificates:
- DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
- DigiCert Trusted Root G4
ECC ICA and root certificates:
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Global Root G3
No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.
If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).
References
- To learn more about the Code Signing certificate changes, see Code signing changes in 2021.
- To get a copy of the new intermediate CA and root certificates, see DigiCert Trusted Root Authority Certificates
If you have questions or concerns, please contact your account manager or our support team.
Março 12, 2021
CertCentral Services API: Auto-reissue support for Multi-year Plans
We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.
You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.
Enable auto-reissue for a new order
To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue.
By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue parameter to 1 in the body of your request.
Example request body:
Note: In new order requests, we ignore the auto_reissue parameter if:
- The product does not support Multi-year Plans.
- Multi-year Plans are disabled for the account.
Update auto-reissue setting for existing orders
To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.
Get auto-reissue setting for an existing order
To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue. The auto_reissue parameter returns the current auto-reissue setting for the order.
ICA certificate chain selection for public DV flex certificates
We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:
- GeoTrust DV SSL
- Thawte SSL 123 DV
- RapidSSL Standard DV
- RapidSSL Wildcard DV
- Encryption Everywhere DV
You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.
This feature allows you to:
- Set the default ICA certificate chain for each supported public DV certificate.
- Control which ICA certificate chains certificate requestors can use to issue their DV certificate.
Configure ICA certificate chain selection
To enable ICA selection for your account:
- Contact your account manager or our Support team.
- Then, in your CertCentral account, in the left main menu, go to Settings > Product Settings.
- On the Product Settings page, configure the default and allowed intermediates for each supported and available DV certificate.
For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.
DigiCert Services API: DV certificate support for ICA certificate chain selection
In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:
- Updated the Product list endpoint
After adding the ICA certificate selection chain feature to your account, the Product list endpoint returns each ICA certificate's name and ID available to issue end-entity certificates for the supported DV products (see allowed_ca_certs). - Updated the Product limits endpoint
After you configure the allowed and default ICA certificates for a DV product, the Product limits endpoint returns the default issuing ICA (default_intermediate) and allowed issuing ICAs (allowed_intermediates) that certificate requestor with a given container and user role assignment can select. - Updated the Product info endpoint
The Product list endpoint now returns the name, ID, and certificate chain information for the issuing ICAs you can select when you request a given product (see allowed_ca_certs). - Added support for ICA chain selection to these DV certificate order requests:
Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.
Example DV certificate request:
For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.
Dezembro 1, 2020
A DigiCert para parar de emitir certificados de assinatura de código SHA-1
Na terça-feira, 1 de dezembro de 2020 MST, A DigiCert deixará de emitir certificados de assinatura de código SHA-1 e de assinatura de código SHA-1 EV.
Observação: Todos os certificados de assinatura de código SHA-1/assinatura de código EV existentes permanecerão ativos até que expirem.
Por que a DigiCert está fazendo essas alterações?
Para estar em conformidade com os novos padrões da indústria, as autoridades de certificação (CAs) devem fazer as seguintes alterações até 1º de janeiro de 2021:
- Pare de emitir certificados de assinatura de código SHA-1
- Pare de usar certificados SHA-1 CA intermediário e SHA-1 raiz para emitir certificados de assinatura de código de algoritmo SHA-256 e carimbo de data/hora
Consulte o Anexo A nos Requisitos básicos para a emissão e gerenciamento de certificados de assinatura de código de confiança pública.
Como as alterações do certificado de assinatura de código SHA-1 me afetam?
Se você depende de certificados de assinatura de código SHA-1, execute estas ações conforme necessário antes de 1º de dezembro de 2020:
- Obtenha seus novos certificados SHA-1
- Renove seus certificados SHA-1
- Emita novamente e obtenha os certificados SHA-1 necessários
Para obter mais informações sobre as alterações de 1º de dezembro de 2020, consulte nosso artigo da base de conhecimento DigiCert para parar de emitir certificados de assinatura de código SHA-1.
Se você tiver dúvidas adicionais, entre em contato com o gerente da sua conta ou com nossa equipe de suporte.
Novembro 2, 2020
DigiCert substituindo vários certificados CA intermediários
Em 2 de novembro de 2020, o DigiCert está substituindo outro conjunto de certificados intermediários de CA (ICAs). Para obter uma lista dos certificados ICA que estão sendo substituídos, consulte nosso artigo DigiCert ICA Update KB.
Como isso me afeta?
A implementação de novos ICAs não afeta os certificados existentes. Não removemos um ICA antigo dos armazenamentos de certificados até que todos os certificados emitidos tenham expirado. Isso significa que os certificados ativos emitidos pelo ICA substituído continuarão sendo confiáveis.
No entanto, isso afetará os certificados existentes se você os re-emitir, pois serão emitidos a partir do novo ICA. Aconselhamos você a sempre incluir o ICA fornecido em todos os certificados que instalar. Essa sempre foi a prática recomendada para garantir que as substituições do ICA passassem despercebidas.
Nenhuma ação é necessária, a menos que você faça o seguinte:
- Fixar as versões antigas dos certificados intermediários de CA
- Codificar a aceitação das versões antigas dos certificados intermediários de CA
- Operar um armazenamento confiável que inclui as versões antigas dos certificados intermediários de CA
Se você fizer qualquer uma das opções acima, recomendamos atualizar seu ambiente o mais rápido possível. Pare de fixar e codificar ICAs ou faça as alterações necessárias para garantir que os certificados emitidos pelos novos ICAs sejam confiáveis (em outras palavras, podem ser conectados ao ICA atualizado e à raiz confiável).
Substituições de certificado CA intermediário
Certifique-se de monitorar as páginas listadas abaixo. Estas são páginas ativas e são atualizadas regularmente com informações de substituição de certificado ICA e cópias dos novos certificados de CA intermediários DigiCert.
Por que a DigiCert está substituindo os certificados CA intermediários?
Estamos substituindo ICAs para:
- Promova a agilidade do cliente com a substituição do ICA
- Reduza o escopo da emissão de certificado de qualquer ICA para mitigar o impacto das mudanças nos padrões da indústria e nas diretrizes do Fórum de CA/Navegador para certificados de entidades intermediárias e finais
- Melhore a segurança da Internet garantindo que todos os ICAs operem usando as melhorias mais recentes
Se você tiver dúvidas ou preocupações, entre em contato com seu gerente de conta ou com nossa equipe de suporte.
Outubro 13, 2020
Seleção de cadeia de certificados ICA para certificados OV e EV flex públicos
Temos o prazer de anunciar que os certificados públicos OV e EV com recursos flexíveis agora oferecem suporte à seleção de cadeia de certificados CA intermediários.
Você pode adicionar uma opção à sua conta CertCentral que permite controlar qual cadeia de certificados DigiCert ICA emite seus certificados OV e EV "flex" públicos.
Esta opção permite que você:
- Defina a cadeia de certificados ICA padrão para cada certificado OV e EV flex público.
- Controle quais cadeias de certificados ICA os solicitantes de certificados podem usar para emitir seus certificados flexíveis.
Configurar a seleção da cadeia de certificados ICA
Para habilitar a seleção ICA para sua conta, entre em contato com seu gerente de conta ou nossa Equipe de suporte. Em seguida, em sua conta do CertCentral, na página Configurações do produto (no menu principal à esquerda, vá para Configurações > Configurações do produto), configure os intermediários padrão e permitidos para cada tipo de certificado flexível OV e EV.
Para obter mais informações e instruções passo a passo, consulte a Opção de cadeia de certificados ICA para certificados OV e EV flex públicos.
Suporte de API DigiCert Services para seleção de cadeia de certificados ICA
Na API DigiCert Services, fizemos as seguintes atualizações para oferecer suporte à seleção ICA em suas integrações de API:
- Novo terminal de limites de produto
criadoUse este terminal para obter informações sobre os limites e as configurações dos produtos habilitados para cada divisão em sua conta. Isso inclui valores de ID para as cadeias de certificação ICA padrão e permitidas de cada produto. - Adicionado suporte para seleção ICA para solicitações de pedido de certificado flexível TLS OV e EV público.
Depois de configurar intermediários permitidos para um produto, você pode selecionar a cadeia de certificado ICA que deve emitir seu certificado quando você usa a API para enviar uma solicitação de pedido.
Passe o ID do certificado ICA emissor como o valor do parâmetroca_cert_idno corpo da sua solicitação de pedido
Exemplo de solicitação de certificado flexível:
Para obter mais informações sobre como usar a seleção ICA em suas integrações de API, consulte Ciclo de vida do certificado OV/EV - (Opcional) Seleção ICA.