Updates to OV and EV TLS certificate profiles
As we work to align our DV, OV, and EV TLS certificate profiles, we are making a minor change to our OV and EV TLS certificate profiles. Starting January 25, 2022, we will set the Basic Constraints extension to noncritical in our OV and EV TLS certificate profiles.
Note: DV TLS certificates are already issued with the Basic Constraints extension set to noncritical.
What do I need to do?
No action is required on your part. You shouldn't notice any difference in your certificate issuance process.
However, if your TLS certificate process requires the Basic Constraints extension to bet set to critical, contact your account manager or DigiCert Support immediately.
Industry changes to file-based DCV (HTTP Practical Demonstration, file auth, file, HTTP token, and HTTP auth)
To comply with new industry standards for the file-based domain control validation (DCV) method, you can only use the file-based DCV to demonstrate control over fully qualified domain names (FQDNs), exactly as named.
To learn more about the industry change, see Domain validation policy changes in 2021.
How does this affect me?
As of November 16, 2021, you must use one of the other supported DCV methods, such as Email, DNS TXT, and CNAME, to:
To learn more about the supported DCV method for DV, OV, and EV certificate requests:
CertCentral: Pending certificate requests and domain prevalidation using file-based DCV
Pending certificate request
If you have a pending certificate request with incomplete file-based DCV checks, you may need to switch DCV methods* or use the file-based DCV method to demonstrate control over every fully qualified domain name, exactly as named, on the request.
*Note: For certificate requests with incomplete file-based DCV checks for wildcard domains, you must use a different DCV method.
To learn more about the supported DCV methods for DV, OV, and EV certificate requests:
Domain prevalidation
If you plan to use the file-based DCV method to prevalidate an entire domain or entire subdomain, you must use a different DCV method.
To learn more about the supported DCV methods for domain prevalidation, see Supported domain control validation (DCV) methods for domain prevalidation.
CertCentral Services API
If you use the CertCentral Services API to order certificates or submit domains for prevalidation using file-based DCV (http-token), this change may affect your API integrations. To learn more, visit File-based domain control validation (http-token).
CertCentral Services API: Improved domains array in OV/EV order response
To make it easier to see how the Services API groups the domains on your OV/EV TLS certificate orders for validation, we added a new response parameter to the endpoints for submitting certificate order requests: domains[].dns_name
.*
The dns_name
parameter returns the common name or SAN of the domain on the order. To prove you control this domain, you must have an active validation for the domain associated with the domains[].name
and domains[].id
key/value pairs.
Example OV certificate order
JSON payload:
JSON response:
The Services API returns the domains[].dns_name
parameter in the JSON response for the following endpoints:
*Note: Only order requests for OV/EV TLS certificates return a domains
array.
CertCentral Services API: Улучшена конечная точка «Доменные адреса эл. почты»
Чтобы упростить поиск адресов электронной почты DNS TXT, на которые рассылаются электронные сообщения от DigiCert для подтверждения полномочия управления доменом (DCV) в качестве метода DCV с использованием электронных сообщений, мы добавили новый параметр ответа в конечную точку Доменные адреса эл. почты: dns_txt_emails
.
Параметр dns_txt_emails
отображает список адресов электронной почты, найденных в записи DNS TXT домена. Это адреса электронной почты, которые мы находим в записи DNS TXT на субдомене _validation-contactemail
проверяемого домена.
Пример ответа с новым параметром:
Для ознакомления с более подробной информацией о поддержке метода DCV «Электронное сообщение контактному лицу DNS TXT»:
Для ознакомления с дополнительной информацией о подтверждении полномочий управления доменами, указанными в заказе на сертификат DV:
Для ознакомления с дополнительной информацией о подтверждении полномочий управления доменом в заказах на сертификат OV/EV:
CertCentral: Электронное сообщение контактному лицу DNS TXT в качестве метода DCV
Мы рады сообщить, что теперь DigiCert поддерживает отправку электронного письма контактному лицу DNS TXT для подтверждения полномочия управления доменом (DCV) с использованием электронных сообщений. Это означает, что вы можете добавлять адреса электронной почты в запись DNS TXT для своего домена. DigiCert автоматически выполняет поиск записей DNS TXT и отправляет электронное сообщение DCV на эти адреса. Чтобы подтвердить полномочие управления доменом, получателю письма необходимо следовать указаниям, содержащимся в письме.
Примечание: Ранее DigiCert отправляла электронные сообщения DCV только на адреса электронной почты на базе службы WHOIS и на сконструированные адреса электронной почты.
Отраслевые изменения
Контактная информация становится все более недоступной в записях WHOIS из-за политики конфиденциальности и прочих ограничений. После принятия Бюллетеня SC13 форум Certificate Authority/Browser (CA/B) добавил в список поддерживаемых методов DCV метод «Электронное сообщение контактному лицу DNS TXT».
Электронные адреса записи DNS TXT
Для использования метода Электронное сообщение контактному лицу DNS TXT в качестве метода DCV необходимо поместить запись DNS TXT в субдомен _validation-contactemail домена, подлинность которого необходимо проверить. DigiCert автоматически выполняет поиск записей WHOIS и DNS TXT и отправляет электронное сообщение DCV на адреса, обнаруженные в этих записях.
_validation-contactemail.example.com | Default | validatedomain@digicerttest.com
Значение RDATA данной текстовой записи должно быть действительным адресом электронной почты. См. раздел B.2.1 Электронные адреса записи DNS TXT в Приложении основных требований.
Для ознакомления с дополнительной информацией о Бюллетене SC13, форуме CA/Browser и методе DCV «Электронное сообщение контактному лицу DNS TXT»:
CertCentral Services API: Добавлены токены DCV для новых доменов в ответные данные для заказов на сертификаты OV и EV
Мы обновили конечные точки для заказа открытых сертификатов OV и EV SSL для включения в ответ токенов запроса на подтверждение полномочия управления доменом (DCV) для новых доменов в заказе.
Теперь, когда вы запрашиваете сертификат OV или EV, вам больше не придется отправлять отдельные запросы для получения токенов запроса DCV для новых доменов в заказе. Вместо этого вы можете получить токены непосредственно в данных ответа на запрос заказа.
Пример данных ответа:
Примечание: Объект dcv_token
не включается в ответ для доменов, достоверность которых будет проверяться в рамках проверки другого указанного в заказе домена — для доменов, которые уже существуют в вашей учётная запись, или для субдоменов существующих доменов.
Это обновление предназначено для следующих конечных точек: