Ноябрь 16, 2021
Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)
To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.
To learn more about the industry change, see Domain validation policy changes in 2021.
How does this affect me?
As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:
- Validate wildcard domains (*.example.com)
- To include subdomains in the domain validation when validating the higher-level domain. For example, if you want to cover www.example.com, when you validate the higher-level domain, example.com.
- Prevalidate entire domains and subdomains.
To learn more about the supported DCV method for DV, OV, and EV certificate requests:
CertCentral: Pending certificate requests and domain prevalidation using file-based DCV
Pending certificate request
If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.
*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.
To learn more about the supported DCV methods for DV, OV, and EV certificate requests:
- Supported DCV methods for validating domains on certificate OV and EV certificate requests
- Supported DCV methods for validating the domains on DV SSL certificate orders
Domain prevalidation
If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.
To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.
CertCentral Services API
If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).
Ноябрь 6, 2021
Upcoming Schedule Maintenance
DigiCert will perform scheduled maintenance on November 6, 2021, between 22:00 – 24:00 MDT (November 7, 2021, between 04:00 – 06:00 UTC).
CertCentral infrastructure-related maintenance downtime
We will start this infrastructure-related maintenance between 22:00 and 22:10 MDT (04:00 and 04:10 UTC). Then, for approximately 30 minutes, the following services will be down:
DV certificate issuance for CertCentral, ACME, and ACME agent automation
- DV certificate requests submitted during this time will fail
- APIs will return a "cannot connect" error
- Failed requests should be resubmitted after services are restored
CIS and SCEP
- Certificate Issuing Service (CIS) will be down
- Simple Certificate Enrollment Protocol (SCEP) will be down
- DigiCert will be unable to issue certificates for CIS and SCEP
- APIs will return a "cannot connect" error
- Requests that return "cannot connect" errors should be resubmitted after services are restore
QuoVadis TrustLink certificate issuance
- TrustLink certificate requests submitted during this time will fail
- However, failed requests will be added to a queue for processing later
- Queued-up requests will be processed after services are restored, as required
This maintenance only affects DV certificate issuance, CIS, SCEP, and TrustLink certificate issuance. It does not affect any other DigiCert platforms or services .
PKI Platform 8 maintenance
We will start the PKI Platform 8 maintenance at 22:00 MDT (04:00 UTC). Then, for approximately 30 minutes, the PKI Platform 8 will experience service delays and performance degradation that affect:
- Signing in and using your PKI Platform 8 to perform in-console certificate lifecycle tasks.
- Using any of your PKI Platform 8 corresponding APIs or protocols (for example, SOAP, REST, SCEP, and EST) to perform certificate lifecycle operations.
- Performing certificate lifecycle tasks/operations:
- Enrolling certificates: new, renew, or reissues
- Adding domains and organizations
- Submitting validation requests
- Viewing reports, revoking certificates, and creating profiles
- Adding users, viewing certificates, and downloading certificates
- Certificate issuance for PKI Platform 8 and its corresponding API.
Additionally:
- APIs will return a "cannot connect" error.
- Certificate enrollments that receive "cannot connect" errors must be resubmitted after DigiCert restores services.
The PKI Platform 8 maintenance only affects PKI Platform 8. It does not affect any other DigiCert platforms or services.
Plan accordingly:
- Schedule high-priority orders, renewals, and reissues before or after the maintenance window.
- Expect interruptions if you use the APIs for immediate certificate issuance and automated tasks.
- To get live maintenance updates, subscribe to the DigiCert Status page. This subscription includes email alerts for when maintenance begins and when it ends.
- For scheduled maintenance dates and times, see DigiCert 2021 scheduled maintenance.
Services will be restored as soon as we complete the maintenance.
Март 12, 2021
CertCentral Services API: Auto-reissue support for Multi-year Plans
We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.
You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.
Enable auto-reissue for a new order
To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue.
By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue parameter to 1 in the body of your request.
Example request body:
Note: In new order requests, we ignore the auto_reissue parameter if:
- The product does not support Multi-year Plans.
- Multi-year Plans are disabled for the account.
Update auto-reissue setting for existing orders
To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.
Get auto-reissue setting for an existing order
To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue. The auto_reissue parameter returns the current auto-reissue setting for the order.
ICA certificate chain selection for public DV flex certificates
We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:
- GeoTrust DV SSL
- Thawte SSL 123 DV
- RapidSSL Standard DV
- RapidSSL Wildcard DV
- Encryption Everywhere DV
You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.
This feature allows you to:
- Set the default ICA certificate chain for each supported public DV certificate.
- Control which ICA certificate chains certificate requestors can use to issue their DV certificate.
Configure ICA certificate chain selection
To enable ICA selection for your account:
- Contact your account manager or our Support team.
- Then, in your CertCentral account, in the left main menu, go to Settings > Product Settings.
- On the Product Settings page, configure the default and allowed intermediates for each supported and available DV certificate.
For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.
DigiCert Services API: DV certificate support for ICA certificate chain selection
In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:
- Updated the Product list endpoint
After adding the ICA certificate selection chain feature to your account, the Product list endpoint returns each ICA certificate's name and ID available to issue end-entity certificates for the supported DV products (see allowed_ca_certs). - Updated the Product limits endpoint
After you configure the allowed and default ICA certificates for a DV product, the Product limits endpoint returns the default issuing ICA (default_intermediate) and allowed issuing ICAs (allowed_intermediates) that certificate requestor with a given container and user role assignment can select. - Updated the Product info endpoint
The Product list endpoint now returns the name, ID, and certificate chain information for the issuing ICAs you can select when you request a given product (see allowed_ca_certs). - Added support for ICA chain selection to these DV certificate order requests:
Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.
Example DV certificate request:
For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.
Январь 25, 2021
CertCentral Services API: Улучшена конечная точка «Доменные адреса эл. почты»
Чтобы упростить поиск адресов электронной почты DNS TXT, на которые рассылаются электронные сообщения от DigiCert для подтверждения полномочия управления доменом (DCV) в качестве метода DCV с использованием электронных сообщений, мы добавили новый параметр ответа в конечную точку Доменные адреса эл. почты: dns_txt_emails.
Параметр dns_txt_emails отображает список адресов электронной почты, найденных в записи DNS TXT домена. Это адреса электронной почты, которые мы находим в записи DNS TXT на субдомене _validation-contactemail проверяемого домена.
Пример ответа с новым параметром:
Для ознакомления с более подробной информацией о поддержке метода DCV «Электронное сообщение контактному лицу DNS TXT»:
Для ознакомления с дополнительной информацией о подтверждении полномочий управления доменами, указанными в заказе на сертификат DV:
Для ознакомления с дополнительной информацией о подтверждении полномочий управления доменом в заказах на сертификат OV/EV:
Январь 13, 2021
CertCentral: Электронное сообщение контактному лицу DNS TXT в качестве метода DCV
Мы рады сообщить, что теперь DigiCert поддерживает отправку электронного письма контактному лицу DNS TXT для подтверждения полномочия управления доменом (DCV) с использованием электронных сообщений. Это означает, что вы можете добавлять адреса электронной почты в запись DNS TXT для своего домена. DigiCert автоматически выполняет поиск записей DNS TXT и отправляет электронное сообщение DCV на эти адреса. Чтобы подтвердить полномочие управления доменом, получателю письма необходимо следовать указаниям, содержащимся в письме.
Примечание: Ранее DigiCert отправляла электронные сообщения DCV только на адреса электронной почты на базе службы WHOIS и на сконструированные адреса электронной почты.
Отраслевые изменения
Контактная информация становится все более недоступной в записях WHOIS из-за политики конфиденциальности и прочих ограничений. После принятия Бюллетеня SC13 форум Certificate Authority/Browser (CA/B) добавил в список поддерживаемых методов DCV метод «Электронное сообщение контактному лицу DNS TXT».
Электронные адреса записи DNS TXT
Для использования метода Электронное сообщение контактному лицу DNS TXT в качестве метода DCV необходимо поместить запись DNS TXT в субдомен _validation-contactemail домена, подлинность которого необходимо проверить. DigiCert автоматически выполняет поиск записей WHOIS и DNS TXT и отправляет электронное сообщение DCV на адреса, обнаруженные в этих записях.
_validation-contactemail.example.com | Default | validatedomain@digicerttest.com
Значение RDATA данной текстовой записи должно быть действительным адресом электронной почты. См. раздел B.2.1 Электронные адреса записи DNS TXT в Приложении основных требований.
Для ознакомления с дополнительной информацией о Бюллетене SC13, форуме CA/Browser и методе DCV «Электронное сообщение контактному лицу DNS TXT»:
- Бюллетень SC13: Свойство контактного лица CAA и соответствующие методы подтверждение достоверности с использованием электронных сообщений
- Базовые требования к выпуску и управлению открытыми доверенными сертификатами.
- Продемонстрировать полномочия управления доменами, указанными в находящемся на рассмотрении заказе на сертификат
- Форум Certificate Authority/Browser (CA/B)
Октябрь 22, 2020
CertCentral Services API: Обновления документации
Мы добавили новый параметр запроса в документацию CertCentral Services API для заказов на сертификаты DV: use_auth_key. В учетных записях с существующим AuthKey этот параметр позволяет задать, следует ли проверять записи DNS на наличие токена запроса AuthKey при размещении заказа на сертификат DV.
По умолчанию, если для вашей учётная запись существует AuthKey, вы должны добавить токен запроса AuthKey в записи DNS перед размещением заказа на сертификат DV. Токены запроса AuthKey позволяют немедленно выпустить сертификат, сокращая при этом время, которое вы тратите на управление жизненным циклом сертификата. Тем не менее, могут возникнуть ситуации, когда необходимо подтвердить полномочия управления доменами с помощью метода проверки с использованием электронных сообщений или сгенерированного токена DigiCert. В этих случаях параметр use_auth_key позволяет отключить проверку наличия токена запроса AuthKey на уровне заказа, чтобы можно было использовать другой метод подтверждения полномочия управления доменом. Для ознакомления с дополнительной информацией о подтверждении полномочия управления доменом (DCV) см. раздел Методы подтверждения полномочий управления доменом (DCV).
Чтобы отключить метод проверки AuthKey для заказа на сертификат DV, включите параметр use_auth_key в полезные данные JSON запроса. Пример:
Следующие конечные точки поддерживают параметр use_auth_key:
- Заказ плана долгосрочного обслуживания (для сертификатов DV/SSL)
- Заказать GeoTrust DV SSL
- Заказать DV SSL
Для ознакомления с дополнительной информацией об использовании AuthKey для немедленного выпуска сертификата DV см. раздел Немедленный выпуск сертификата DV.
Примечание: Параметр use_auth_key игнорируется в запросах на шифрование сертификатов DV Encryption Everywhere. Для всех запросов на сертификаты DV Encryption Everywhere требуется токен запроса AuthKey для DCV. Кроме того, продукты OV и EV SSL не поддерживают параметр запроса use_auth_key.
Июнь 3, 2020
CertCentral: Автоматические проверки DCV – DCV-опрос
Мы рады сообщить о том, что мы улучшили процесс подтверждение полномочия управления доменом (DCV) и добавили автоматические проверки для методов DCV DNS TXT, DNS CNAME и практической демонстрации HTTP (FileAuth).
Это означает, что после того, как вы разместите файл fileauth.txt на вашем домене или добавили случайное значение к своим записям DNS TXT или DNS CNAME, вам не нужно будет беспокоиться об авторизации в системе CertCentral для проведения самостоятельной проверки. Мы запустим проверку DCV автоматически. Хотя, при необходимости, вы можете провести проверку вручную.
Периодичность DCV-опроса
После отправки вашего заказа на открытый сертификат SSL/TLS, предоставления информации о домене для его предварительной проверки или изменения метода DCV для домена DCV-опрос запускается немедленно и выполняется в течение одной недели.
- Интервал 1 — Каждую минуту в течение первых 15 минут
- Интервал 2 — Каждые пять минут в течение часа
- Интервал 3 — Каждые пятнадцать минут в течение четырех часов
- Интервал 4 — Каждый час в течение дня
- Интервал 5 — Каждый четыре часа в течение недели*
*После 5-го интервала мы перестаем проверять. Если вы не разместили файл fileauth.txt на вашем домене или не добавили случайное значение к своим записям DNS TXT или DNS CNAME до конца первой недели, вам необходимо будет выполнить проверку самостоятельно.
Дополнительная информация о поддерживаемых методах DCV: