Change log | docs.digicert.com

Май 18, 2022

CertCentral: DigiCert KeyGen, our new key generation service

DigiCert is happy to announce our new key generation service—KeyGen. Use KeyGen to generate and install your client and code signing certificates from your browser. KeyGen can be used on macOS and Windows and is supported by all major browsers.

With KeyGen, you don't need to generate a CSR to order your client and code signing certificates. Place your order without a CSR. Then after we process the order and your certificate is ready, DigiCert sends a "Generate your Certificate" email with instructions on using KeyGen to get your certificate.

How does KeyGen work?

KeyGen generates a keypair and then uses the public key to create a certificate signing request (CSR). KeyGen sends the CSR to DigiCert, and DigiCert sends the certificate back to KeyGen. Then KeyGen downloads a PKCS12 (.p12) file to your desktop that contains the certificate and the private key. The password you create during the certificate generation process protects the PKCS12 file. When you use the password to open the certificate file, the certificate gets installed in your personal certificate store.

To learn more about generating client and code signing certificates from your browser, see the following instructions:

Февраль 1, 2022

bug fix csr code signing certificates VMC Verified Mark Certificates trademark offices CertCentral Keygen

Verified Mark Certificates (VMC): Three new approved trademark offices

We are happy to announce that DigiCert now recognizes three more intellectual property offices for verifying the logo for your VMC certificate. These new offices are in Korea, Brazil, and India.

New approved trademark offices:

Other approved trademark offices:

What is a Verified Mark Certificate?

Verified Mark Certificates (VMCs) are a new type of certificate that allows companies to place a certified brand logo next to the “sender” field in customer inboxes.

Your logo is visible before the message is opened.
Your logo acts as confirmation of your domain’s DMARC status and your organization’s authenticated identity.

Learn more about VMC certificates.

Bugfix: Code Signing (CS) certificate generation email sent only to CS verified contact

We fixed a bug in the Code Signing (CS) certificate issuance process where we were sending the certificate generation email to only the CS verified contact. This bug only happened when the requestor did not include a CSR with the code signing certificate request.

Now, for orders submitted without a CSR, we send the code signing certificate generation email to:

Certificate requestor
CS verified contact
Additional emails included with the order

Note: DigiCert recommends submitting a CSR with your Code Signing certificate request. Currently, Internet Explorer is the only browser that supports keypair generation. See our knowledgebase article: Keygen support dropped with Firefox 69.

Май 27, 2021

industry standards root certificates certificate signing request reissued certificates new certificates 3072-bit eToken ECC renewed certificates HSM code signing certificates RSA intermediate CA certificates ev code signing certificates industry changes

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

Stop issuing 2048-bit key code signing certificates
Only issue 3072-bit key or stronger code signing certificates
Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

Order new 2048-bit key certificates
Renew expiring 2048-bit key certificates
Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
DigiCert Trusted Root G4

ECC ICA and root certificates:

DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

To learn more about the Code Signing certificate changes, see Code signing changes in 2021.
To get a copy of the new intermediate CA and root certificates, see DigiCert Trusted Root Authority Certificates

If you have questions or concerns, please contact your account manager or our support team.

Декабрь 1, 2020

industry changes reissued certificates renewal code signing certificates intermediate CA certificates ev code signing certificates compliance SHA-1 SHA-2

DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1

Во вторник 1 декабря 2020 г. MST, Компания DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1 и сертификатов для подписывания кода SHA-1 EV.

Примечание: Все существующие сертификаты для подписывания кода SHA-1 / сертификаты EV для подписывания кода будут оставаться в силе до истечения срока их действия.

Почему DigiCert вносит эти изменения?

В целях обеспечения соответствия требованиям новых отраслевых стандартов центры сертификации (ЦС) должны внести следующие изменения до 1 января 2021 года:

Прекратить выпуск сертификатов для подписывания кода SHA-1
Прекратить выпуск сертификатов SHA-1 промежуточных ЦС и корневых сертификатов SHA-1 для выпуска сертификатов для подписывания кода алгоритма SHA-256 и с меткой времени

См. Приложение A в Базовых требований к выпуску и управлению открытыми доверенными сертификатами для подписывания кода.

Как изменения в сертификаты для подписывания кода SHA-1 повлияют на меня?

Если вы используете сертификаты для подписывания кода SHA-1, примите необходимые меры до 1 декабря 2020 года:

Получите новые сертификаты SHA-1
Продлите свои сертификаты SHA-1
Перевыпустите и получите необходимые сертификаты SHA-1

Для ознакомления с дополнительной информацией об изменениях, запланированных на 1 декабря 2020 года, см. статью нашей базы знаний DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1.

В случае возникновения дополнительных вопросов обратитесь к администратору своей учётная запись или в нашу службу поддержки.

Март 31, 2020

code signing certificates Microsoft driver packages kernel-mode Policy changes compliance

Microsoft постепенно отказывается от поддержки цифровых подписей пакетов драйверов сторонних производителей, работающих в режиме ядра

Процесс подписания ваших пакетов драйверов, работающих в режиме ядра, изменяется. Начиная с 2021 году, Microsoft будет единственным провайдером подписей кодов в режиме ядра. Вы должны начать применять обновленные инструкции Microsoft для подписей любых новых пакетов драйверов, работающих в режиме ядра, которые могут появиться в будущем. См.Партнерский центр для аппаратных средств Windows.

Каким образом должна себя вести DigiCert в данных условиях?

В качестве первого шага данного процесса DigiCert удалил опцию платформы кода режима ядра из бланков запросов сертификатов с подписанием кодов: новых, повторно выпускаемых и с продлеваемым сроком действия.

Это означает, что в дальнейшем вы больше не сможете заказывать, повторно выпускать или продлевать срок действия сертификатов с подписанием кодов на платформе режима ядра.

Какое влияние это окажет на имеющиеся у меня сертификаты с подписанием кодов, использующие режим ядра?

Вы можете продолжать использовать имеющиеся у вас сертификаты для подписания пакетов драйверов, работающих в режиме ядра до тех пор, пока не истечет срок действия перекрестно подписываемого корневого сертификата, с которым сертификаты соединены цепочкой. Срок действия перекрестно подписываемых корневых сертификатов DigiCert истекает в 2021 году.

Подробности см. в нашей статье, представленной для ознакомления с текущей ситуацией, Microsoft отказывается от поддержки перекрестно подписываемых корневых сертификатов с возможностями подписания в режиме ядра.

Март 16, 2020

cancel order bug fix resend certificate generation email code signing certificates domain validation management Edit organization details division preferences domain validation scope enhancement New feature

CertCentral: Управление подтверждениями действительности доменов для yчётная запись любых типов

Мы рады сообщить, что все yчётная запись в настоящее время по умолчанию имеют функцию управления подтверждением проверки домена. В настоящее время все типы yчётная запись имеют доступ к следующим функциям управления доменами:

Добавить домены непосредственно к вашей учётная запись
Направить ваши домены на предварительное подтверждение действительности*
Управлять подтверждениями действительности каждого домена: сертификаты EV и OV
Активировать и деактивировать домены

Чтобы воспользоваться новыми функциями управления подтверждениями действительности доменов, перейдите на страницу Домены (в левой части главного меню перейдите к Сертификаты > Домены).

*Подробные сведения об отправке доменов на предварительное подтверждение действительности можно найти в разделе Предварительная проверка домена.

Примечание: Ранее только yчётная запись «Предприятие» и «Партнер» имели возможность отправлять домены на предварительное подтверждение действительности и управлять подтверждением действительности соответствующих доменов (проверка управления доменом).

CertCentral: Настройки объема подтверждения действительности домена применяются только для заказов TLS

На странице «Предпочтительные настройки подразделения», под «Проверка управления доменом (DCV)» мы обновили настройки Объем подтверждения действительности домена: Указать точные имена доменов для подтверждения действительности и Указать базовые домены для подтверждения действительности. Эти обновленные настройки позволяют вам определить используемый по умолчанию порядок подтверждения действительности домена при указании новых доменов с помощью процесса заказа на сертификате TLS: EV, OV и DV. Данные настройки более не применяются в процессе проверки домена.*

Указать точные имена доменов для подтверждения действительности
При подтверждении действительности новых доменов с использованием процесса заказа, домены и субдомены указываются для подтверждения действительности с указанием точных имен. Запрос подтверждения действительности домена для sub2.sub1.example.com указывается для подтверждения действительности, как sub2.sub1.example.com.
Указать базовые домены для подтверждения действительности
При подтверждении действительности новых доменов с использованием процесса заказа, домены и субдомены указываются для подтверждения действительности на уровне базового домена. Запрос подтверждения действительности домена для sub2.sub1.example.com указывается для подтверждения действительности, как example.com. Следует помнить, что базовый домен также подтверждает действительность всех субдоменов этого базового домена.

*Каким образом данные изменения влияют на процесс предварительной проверки домена?

При отправке доменов для предварительного подтверждения действительности вы можете выполнить подтверждение действительности домена на любом уровне, как на уровне базового субдомена, так и на более низком уровне любого из субдоменов: example.com, sub1.example.com, sub2.sub1.example.com и т.д. См. Предварительная проверка домена.

Опция "Повторно отправить сообщение о создании сертификата" для заказов сертификатов Code Signing, генерированных браузером

Мы добавили опцию Повторно отправить сообщение о создании сертификата к нашему процессу создания сертификата Code Signing для заказов, когда сертификат генерируется в поддерживаемом браузере: IE 11, Safari, Firefox 68 или переносимый Firefox.

Теперь, когда заказ сертификата с подписанием кода имеет статус Отправлено получателю,, вы можете переслать по электронной почте сообщение о генерации сертификата.

Подробные сведения см. в разделе Повторно отправить по электронной почте сообщение "Создайте ваш сертификат DigiCert для подписывания кодов" .

Мы исправили ошибку, которая не позволяла опции Отменить заказ отображать заказы сертификатов Code Signing (CS) со статусом Отправлено получателю. На странице данных заказа опция Отменить заказ отсутствовала в раскрывающемся списке Действия с сертификатом.

Примечание: Для отмены заказа необходимо было обратиться в нашу службу поддержки.

В настоящее время для отмены заказа на сертификаа Code Signing (CS), имеющего статус Отправлено получателю,, перейдите на страницу данных заказа на сертификат иотмените заказ.

Подробные сведения см. в разделе Отмена заказа на сертификат.

CertCentral: Редактировать информацию об организации

Мы добавили новую функцию к процессу управления организацией в CertCentral—Редактировать информацию об организации. Теперь для обновления информации об организации перейдите к странице информации об организации (соответствующей организации), после чего нажмите Редактировать организацию.

Что вы должны сделать, прежде чем приступить к редактированию информации об организации

Изменение данных прошедшей проверку достоверности организации приведет к аннулированию подтверждения достоверности организации. Это действие нельзя отменить. Это означает, что DigiCert необходимо будет проверить достоверность организации "updated/new", прежде чем мы сможем выдать для нее сертификаты. Прежде чем приступать к редактированию, убедитесь, что вы правильно понимаете и принимаете последствия изменения сведений об организации.

Подробные сведения см. в разделе Редактирование информации об организации.

Сентябрь 3, 2019

code signing certificates compliance client certificates Keygen Firefox Emailed to Recipient Expiring Certificates

Поддержка генерации конечного ключа Firefox

После выпуска Firefox 69, наконец-то была обеспечена поддержка Firefox процедуры генерации ключей Keygen. Firefox использует Keygen для упрощения структуры материала генерируемых ключей, позволяет направлять открытый ключ, сертификаты подписания кода, клиента и SMIME у которого генерируются в соответствующем браузере.

Примечание: Браузер Chrome уже предоставил поддержку для генерации ключей, а Edge и Opera никогда не поддерживали данную опцию.

Как это влияет на вас?

После выпуска DigiCert ваших сертификатов подписания кода, клиента и SMIME мы направили вам по электронной почте письмо со ссылкой для создания и установки вашего сертификата.

После выпуска Firefox 69 вы можете использовать только два браузера для генерации данных сертификатов: Internet Explorer и Safari. Если политика компании требует использования Firefox, вы можете воспользоваться ESR или переносимой копией Firefox.

Подробные сведения можно найти в разделе Поддержка Keygen, обеспечиваемая благодаря выпуску Firefox 69.

Советы и рекомендации

Вы можете продолжать использовать Firefox 69 для аутентификации клиентов. В первую очередь сгенерируйте сертификат SMIME в IE 11 или в Safari. Затем импортируйте сертификат SMIME в Firefox.
Для пропуска генерации сертификатов подписания кода, клиента или SMIME в вашем браузере, сгенерируйте и отправьте CSR с вашим заказом. Вместо ссылки DigiCert направит вам по электронной почте письмо, к которому прилагается ваш сертификат.

Мы добавили новый статус, Отправлено получателю,, на страницы Заказы и Данные заказа для заказов сертификатов подписания кода и клиента, что упрощает идентификацию, когда данные заказы находятся в процессе выпуска.

Этот новый статус указывает, что DigiCert проверила достоверность заказа, и сертификат ожидает генерации его пользователем/получателем письма в одном из поддерживаемых браузеров: IE 11, Safari, Firefox 68 или переносимый Firefox.

(В меню на боковой панели нажмите Сертификаты > Заказы. Затем на странице «Заказы» нажмите ссылку на номер заказа сертификата подписывания кода или клиента).

Мы обновили наши процессы повторного выпуска сертификатов для подписывания кода с расширенной проверкой (EV CS) и подписывания документов (DS), и теперь вы можете повторно выпустить данные сертификаты без автоматического отзыва текущего сертификата (оригинального или ранее повторно выпущенного сертификата).

Примечание: Если вам не требуется действующий сертификат (оригинальный или ранее перевыпущенный сертификат), обратитесь в службу поддержки, чтобы они могли отозвать у вас этот сертификат.

После этого в следующий раз, когда вы будете перевыпускать сертификат EV CS или DS, вы сможете сохранить ранее выпущенный сертификат активным в течение его текущего срока действия (или до тех пор, пока он вам нужен).

Апрель 18, 2019

SHA1 certcentral-ui code signing certificates enhancement

DigiCert продолжит предоставлять поддержку подписи SHA1 для сертификатов подписывания кода. Мы снимаем ограничение максимального срока действия 30 декабря 2019 года.