Фильтрация по: compliance x очистить
compliance

DigiCert will stop issuing 2-year public SSL/TLS certificates

On August 27, 2020 5:59 pm MDT (23:59 UTC), DigiCert will stop issuing 2-year public SSL/TLS certificates to prepare for the industry changes to the maximum allowed validity for public SSL/TLS certificates.

After the August 27 deadline, you can only purchase 1-year public SSL/TLS certificates.

What do I need to do?

To ensure you get needed 2-year public SSL/TLS certificates before the August 27 deadline:

  • Take inventory of needed 2-year certificates—new and renewals.
  • Order any 2-year certificates that you need before August 13.
  • Respond to any domain and organization validation requests in a timely manner.

To learn how this change will affect pending certificate orders, reissues, and duplicates, see End of 2-Year DV, OV, and EV public SSL/TLS certificates.

DigiCert Services API

For those using the DigiCert Services API, you'll need to update your API workflows to account for the new maximum certificate validity of 397 days for requests placed after the August 27 deadline. See Services API.

After August 27, 2020

After August 27, you can only purchase 1-year public SSL/TLS certificates. However, to maximize your SSL/TLS coverage, purchase your new certificates with a DigiCert® Multi-year Plan. See Multi-year Plans.

Why is DigiCert making this change?

On September 1, 2020, the industry says good-bye to 2-year certificates. Going forward Certificate Authorities (CA) can only issue public DV, OV, and EV SSL/TLS certificates with a maximum validity of 398 days (approximately 13 months).

DigiCert will implement a 397-day maximum validity for all public SSL/TLS certificates as a safeguard to account for time zone differences and to avoid issuing a public SSL/TLS certificate that exceeds the new 398-day maximum validity requirement.

Check out our blog to learn more about the transition to 1-year public SSL/TLS certificates: One-Year Public-Trust SSL Certificates: DigiCert’s Here to Help.

new

Multi-year Plans now available

We are happy to announce that Multi-year Plans are now available in CertCentral and CertCentral Partners.

DigiCert® Multi-year Plans allow you to pay a single discounted price for up to six years of SSL/TLS certificate coverage. With Multi-year Plans, you pick the SSL/TLS certificate, the duration of coverage you want (up to six years), and the certificate validity. Until the plan expires, you reissue your certificate at no cost each time it reaches the end of its validity period.

The maximum validity of an SSL/TLS certificate will go from 825 days to 397 days on September 1, 2020. When the active certificate for a Multi-year Plan is about to expire, you reissue the certificate to maintain your SSL/TLS coverage.

compliance

Browser support for TLS 1.0 and 1.1 has ended

The four major browsers no longer support Transport Layer Security (TLS) 1.0 and 1.1.

What you need to know

This change doesn't affect your DigiCert certificates. Your certificates continue to work as they always have.

This change affects browser-dependent services and applications relying on TLS 1.0 or 1.1. Now that browser support for TLS 1.0 and 1.1 has ended, any out-of-date systems will be unable to make HTTPS connections.

What you need to do

If you are affected by this change and your system supports more recent versions of the TLS protocol, upgrade your server configuration as soon as you can to TLS 1.2 or TLS 1.3.

If you do not upgrade to TLS 1.2 or 1.3, your webserver, system, or agent will not be able to use HTTPS to securely communicate with the certificate.

Browser TLS 1.0/1.1 deprecation information

Firefox 78, released June 30, 2020

Safari 13.1, released March 24, 2020

Chrome 84, released July 21, 2020

Edge v84, released 7/16/2020

Helpful resources

With so many unique systems relying on TLS, we can't cover all upgrade paths, but here are a few references that may help:

enhancement

CertCentral Services API: Updated error message documentation

In the Services API documentation, we've updated the Errors page to include descriptions for error messages related to:

  • Immediate DV certificate issuance
  • Domain control validation (DCV)
  • Certificate Authority Authorization (CAA) resource record checks

Earlier this year, we improved the APIs for DV certificate orders and DCV requests to provide more detailed error messages when DCV, file authorization, DNS lookups, or CAA resource record checks fail. Now, when you receive one of these error messages, check the Errors page for additional troubleshooting information.

For more information:

Март 31, 2020

compliance

Прекращение браузерной поддержки TLS 1.0 и 1.1

В 2020 году четыре основных браузера прекращают поддержку протокола безопасности транспортного уровня (TLS) версий 1.0 и 1.1.

Данное изменение не влияет на ваши сертификаты DigiCert. Ваши сертификаты будут продолжать работать, как обычно.

Что вы должны знать

Это изменение влияет на сервисы и приложения, работа которых зависит от браузера, и которые используют протокол TLS 1.0 или 1.1. После прекращения браузерной поддержки TLS 1.0 или 1.1 эти устаревшие системы не смогут устанавливать HTTPS-соединения.

Что нужно сделать

Если данное изменение затрагивает вас, разрешите запланируйте обновление протокола до TLS 1.2 или TLS 1.3. Постарайтесь заблаговременно решить возможные проблемы. Прежде чем приступать к работе, выявите все системы, которые могут использовать TLS 1.0 или 1.1.

Не забудьте проверить веб-серверы, такие, как Apache или Microsoft IIS, .NET Framework, агенты, осуществляющие мониторинг серверов, и прочие коммерческие приложения, которые могут быть у вам.

Полезные ресурсы

При наличии такого большого количества систем, работающих с TLS мы не может описать все возможные способы обновления, но все-таки приведем ниже несколько ссылок, которые могут оказаться полезными:

compliance

Microsoft постепенно отказывается от поддержки цифровых подписей пакетов драйверов сторонних производителей, работающих в режиме ядра

Процесс подписания ваших пакетов драйверов, работающих в режиме ядра, изменяется. Начиная с 2021 году, Microsoft будет единственным провайдером подписей кодов в режиме ядра. Вы должны начать применять обновленные инструкции Microsoft для подписей любых новых пакетов драйверов, работающих в режиме ядра, которые могут появиться в будущем. См.Партнерский центр для аппаратных средств Windows.

Каким образом должна себя вести DigiCert в данных условиях?

В качестве первого шага данного процесса DigiCert удалил опцию платформы кода режима ядра из бланков запросов сертификатов с подписанием кодов: новых, повторно выпускаемых и с продлеваемым сроком действия.

Это означает, что в дальнейшем вы больше не сможете заказывать, повторно выпускать или продлевать срок действия сертификатов с подписанием кодов на платформе режима ядра.

Какое влияние это окажет на имеющиеся у меня сертификаты с подписанием кодов, использующие режим ядра?

Вы можете продолжать использовать имеющиеся у вас сертификаты для подписания пакетов драйверов, работающих в режиме ядра до тех пор, пока не истечет срок действия перекрестно подписываемого корневого сертификата, с которым сертификаты соединены цепочкой. Срок действия перекрестно подписываемых корневых сертификатов DigiCert истекает в 2021 году.

Подробности см. в нашей статье, представленной для ознакомления с текущей ситуацией, Microsoft отказывается от поддержки перекрестно подписываемых корневых сертификатов с возможностями подписания в режиме ядра.

compliance

Новые требования Apple по обеспечению соответствия для частных SSL-сертификатов

Apple недавно объявила о некоторых новых требованиях к безопасности для сертификата SSL/TLS, которые вступят в силу с выпуском iOS 13 и MacOS 10.15. Эти требования касаются открытых и частных сертификатов, выданных после 1 июля 2019 года.

Для ваших открытых сертификатов DigiCert SSL/TLS никакие действия не требуются.

Открытые сертификаты DigiCert SSL/TLS уже отвечают всем этим требованиям безопасности. На открытые сертификаты SSL/TLS эти новые требования не влияют, и они будут пользоваться доверием iOS 13 и MacOS 10.15.

Что нового?

Apple реализует дополнительные требования к безопасности для всех сертификатов SSL/TLS, которые по определению влияют на частные сертификаты SSL/TLS. См. Требования к доверенным сертификатам в iOS 13 и macOS 10.15.

Частные сертификаты DigiCert SSL/TLS соответствуют этим требованиям, если они выданы администраторами учетных записей в соответствии с требованиями, предъявляемыми к открытым сертификатам.

Ниже приведен список требований, которые могут повлиять на ваши частные сертификаты SSL/TLS. Эти версии ОС Apple планируется выпустить осенью этого года. Это означает, что вы должны начать подготовку сейчас.

Требования к новым частным сертификатам SSL/TLS:

  • Необходимо использовать алгоритм из SHA-2 в алгоритме подписи. Подписанные с помощью SHA-1 сертификаты больше не являются доверенными.
  • Срок действия должен составлять не более 825 дней. Сертификаты SSL/TLS со сроком действия более 825 дней больше не являются доверенными.

Что вы можете делать?

Если требуется доверие Apple iOS macOS для ваших частных сертификатов SSL/TLS, проверьте, все ли сертификаты SSL/TLS, выпущенные после 1 июля 2019 года, соответствуют этим новым требованиям. Если вы обнаруживаете сертификат, который не соответствует данным требованиям, вы можете в ближайшее время выполнить следующие действия:

compliance

Поддержка генерации конечного ключа Firefox

После выпуска Firefox 69, наконец-то была обеспечена поддержка Firefox процедуры генерации ключей Keygen. Firefox использует Keygen для упрощения структуры материала генерируемых ключей, позволяет направлять открытый ключ, сертификаты подписания кода, клиента и SMIME у которого генерируются в соответствующем браузере.

Примечание. Браузер Chrome уже предоставил поддержку для генерации ключей, а Edge и Opera никогда не поддерживали данную опцию.

Как это влияет на вас?

После выпуска DigiCert ваших сертификатов подписания кода, клиента и SMIME мы направили вам по электронной почте письмо со ссылкой для создания и установки вашего сертификата.

После выпуска Firefox 69 вы можете использовать только два браузера для генерации данных сертификатов: Internet Explorer и Safari. Если политика компании требует использования Firefox, вы можете воспользоваться ESR или переносимой копией Firefox.

Подробные сведения можно найти в разделе Поддержка Keygen, обеспечиваемая благодаря выпуску Firefox 69.

Советы и рекомендации

  • Вы можете продолжать использовать Firefox 69 для аутентификации клиентов. В первую очередь сгенерируйте сертификат SMIME в IE 11 или в Safari. Затем импортируйте сертификат SMIME в Firefox.
  • Для пропуска генерации сертификатов подписания кода, клиента или SMIME в вашем браузере, сгенерируйте и отправьте CSR с вашим заказом. Вместо ссылки DigiCert направит вам по электронной почте письмо, к которому прилагается ваш сертификат.
new

Мы добавили новый статус, Отправлено получателю, на страницы Заказы и Данные заказа для заказов сертификатов подписания кода и клиента, что упрощает идентификацию, когда данные заказы находятся в процессе выпуска.

Этот новый статус указывает, что DigiCert проверила достоверность заказа, и сертификат ожидает генерации его пользователем/получателем письма в одном из поддерживаемых браузеров: IE 11, Safari, Firefox 68 или переносимый Firefox.

(В меню на боковой панели нажмите Сертификаты > Заказы. Затем на странице «Заказы» нажмите ссылку на номер заказа сертификата подписывания кода или клиента).

enhancement

Мы обновили наши процессы повторного выпуска сертификатов для подписывания кода с расширенной проверкой (EV CS) и подписывания документов (DS), и теперь вы можете повторно выпустить данные сертификаты без автоматического отзыва текущего сертификата (оригинального или ранее повторно выпущенного сертификата).

Примечание. Если вам не требуется действующий сертификат (оригинальный или ранее перевыпущенный сертификат), обратитесь в службу поддержки, чтобы они могли отозвать у вас этот сертификат.

После этого в следующий раз, когда вы будете перевыпускать сертификат EV CS или DS, вы сможете сохранить ранее выпущенный сертификат активным в течение его текущего срока действия (или до тех пор, пока он вам нужен).

compliance

Напоминание об обеспечении соответствия отраслевым стандартам.

В случае открытых и частных сертификатов центры сертификации (ЦС) не допускают сокращенного обозначения следующих компонентах адресов в ваших заказах сертификатов или запросов на предварительную проверку организаций:

  • Штат или провинция*
  • Город или местность*

*Это требование относится к адресам организаций и юридическим адресам.

new

Мы упростили процедуру определения объема подтверждения действительности домена для вашей учетной записи при предоставлении ваших доменов для подтверждения действительности (предварительная проверка или проверка с использованием заказов сертификатов).

На странице «Предпочтительные настройки подразделения» мы добавили две опции объема подтверждения действительности домена:

  • Указать точные имена доменов для подтверждения действительности
    С помощью данной опции в запросах новых доменов, отправляемых на подтверждение действительности, домены именуются в точности, как указано (например, запрос для sub.example.com направляется на проверку точно в том виде, в котором он используется в sub.example.com). Также работает опция подтверждения действительности домена “высшего уровня” (например, example.com). Данный тип поведения применяется для CertCentral по умолчанию.
  • Ограничить подтверждение только базовым доменом
    Эта опция позволяет ограничить процедуру подтверждения действительности домена только базовым доменом (например, example.com). В случае запроса, содержащего только новые субдомены (например, sub.example.com), мы будет принимать только проверку действительности базового домена (например, example.com). Проверка действительности субдомена (например, sub.example.com) не работает.

Для конфигурирования объема подтверждения действительности для вашей учетной записи в меню на боковой панели нажмите Настройки > Предпочтительные настройки. На странице «Предпочтительные настройки подразделения» разверните опцию Расширенные настройки. В разделе «Проверка управления доменом (DCV)» в поле Объем подтверждения действительности домена, вы увидите данные новые настройки.

fix

Мы исправили ошибку, заключавшуюся в том, что мы ограничили максимально допустимое число SANS в повторных выпусках сертификатов Wildcard SSL в новых заказах сертификатов значение 10.

Теперь при повторном выпуске или заказе нового сертификата Wildcard SSL вы можете добавить до 250 SAN.

compliance

Изменения отраслевых стандартов

По состоянию на 31 июля 2019 года (19:30 UTC) вы должны использовать метод DCV «Практическая демонстрация HTTP», чтобы продемонстрировать полномочия управления IP-адресами в ваших заказах на сертификаты.

Для ознакомления с более подробной информацией о методе DCV «Практическая демонстрация HTTP», см. данные инструкции:

В настоящее время отраслевые стандарты позволяют вам использовать другие методы DCV для демонстрации полномочий управления вашим IP-адресом. Тем не менее, после выхода бюллетеня SC7 правила подтверждения полномочий управления IP-адресом изменились.

Бюллетень SC7: Обновление методов подтверждения полномочий управления IP-адресом

Данный бюллетень переопределяет допустимые процессы и процедуры для подтверждения полномочий клиента по управлению IP-адресом, указанным в сертификате. Изменения обеспечения соответствия согласно бюллетеню SC7 вступают в силу 31 июля 2019 года (19:30 UTC).

Для обеспечения соответствия по состоянию на 31 июля 2019 года (19:30 UTC) DigiCert разрешает клиентам использовать метод DCV с практической демонстрацией HTTP для подтверждения полномочий управления своими IP-адресами.

Удаление поддержки для IPv6

По состоянию на 31 июля 2019 года (19:30 UTC) DigiCert прекратила поддержку сертификатов для адресов IPv6. Из-за ограничений сервера DigiCert не может связаться с IPv6-адресом, чтобы проверить файл, размещенный на веб-сайте клиента, для метода DCV с практической демонстрацией HTTP.

enhancement

Мы обновили настройки федерации CertCentral SAML, чтобы вы могли не указывать имя своей федерации в списке поставщиков удостоверений (IdP) на страницах Выбора поставщика удостоверений SAML SSO и Выбора поставщика удостоверений для запросов сертификатов SAML.

Теперь на странице настроек федерации в разделе Метаданных вашего IDP, мы добавили параметр Включить имя федерации. Если вы хотите, чтобы имя вашей федерации не появлялось в списке IdP на странице Выбора IdP, снимите галочку в поле Добавить Имя моей федерации в список IdP.

new

Сертификаты Secure Site Pro TLS/SSL доступны в CertCentral. С помощью Secure Site Pro вы платите за домен; без базовой стоимости сертификата. Добавляете один домен, получаете счет за один домен. Нужно девять доменов, платите за девять. Защитите до 250 доменов с помощью одного сертификата.

Мы предлагаем два типа сертификатов Secure Site Pro, один — для сертификатов OV и один — для сертификатов EV.

  • Сертификат Secure Site Pro SSL
    Получите сертификат OV, который удовлетворяет все ваши потребности. Обеспечьте шифрование и аутентификацию для одного домена, одного домена с подстановочными знаками и всех его субдоменов или используйте альтернативные имена субъектов (SAN) для защиты нескольких доменов и доменов с подстановочными знаками с помощью одного сертификата.
  • Сертификат Secure Site Pro EV SSL
    Получите сертификат с расширенным подтверждением, который удовлетворяет все ваши потребности. Обеспечьте шифрование и аутентификацию для защиты одного домена или используйте альтернативные имена субъектов (SAN) для защиты нескольких сайтов (полностью квалифицированных доменных имен) с помощью одного сертификата.

Преимущества каждого сертификата Secure Site Pro

Каждый сертификат Secure Site Pro включает, без каких-либо дополнительных затрат, первый доступ к будущим дополнительным функциям в CertCentral (например, мониторинг журналов CT и управление процедурой подтверждения действительности).

Прочие преимущества включают:

  • Приоритетное подтверждение действительности
  • Приоритетная поддержка
  • Две премиальные печати сайта
  • Проверка на отсутствие вредоносного ПО
  • Ведущие в отрасли гарантии

Чтобы активировать сертификаты Secure Site Pro для своей учетной записи CertCentral, обратитесь к менеджеру своей учетной записи или в нашу службу поддержки.

Для ознакомления с более подробной информацией о наших сертификатах Secure Site Pro см. DigiCert Secure Site Pro.

compliance

Открытые сертификаты SSL больше не могут защищать доменные имена с нижним подчеркиванием ("_"). Срок действия всех ранее выданных сертификатов с нижним подчеркиванием в доменных именах должны истечь до этой даты.

Примечание. Предпочтительным решением для нижнего подчеркивания является переименование имен хостов (FQDN), которые содержат нижние подчеркивания, и замена сертификатов. Тем не менее, в тех ситуациях, когда переименование невозможно, вы можете использовать частные сертификаты и в некоторых случаях вы можете использовать сертификат с поддержкой субдоменов, который защищает весь домен.

Для ознакомления с более подробной информацией см. Исключение нижних подчеркиваний в доменных именах.

compliance

Требования отраслевого стандарта для включения расширения CanSignHttpExchanges в сертификат ECC SSL/TLS:

  • Запись ресурса CAA для домена, который включает параметр "cansignhttpexchanges=да"*
  • Пара ключей Криптография на основе эллиптических кривых (ECC)
  • Расширение CanSignHttpExchanges
  • Максимальный срок действия составляет 90 дней*
  • Используется только для Signed HTTP Exchange

*Примечание: Данные требования вступили в силу с 1 мая 2019 года. Расширение Signed HTTP Exchanges находится в стадии активной разработки. По мере развития отрасли могут быть внесены дополнительные изменения в требования.

Максимальный срок действия сертификата, составляющий 90 дней, не влияет на сертификаты, выпущенные до 1 мая 2019 года. Обратите внимание на то, что срок действия переизданного сертификата будет сокращен до 90 дней с момента переиздания. Тем не менее, вы можете продолжить переоформление сертификата на весь приобретенный срок действия.

Расширение CanSignHttpExchanges

Недавно мы добавили новый профиль сертификата HTTP Signed Exchanges с целью решения проблемы, связанной с отображением URL-адреса AMP, когда ваш бренд не отображается в адресной строке. См. Отобразить улучшенные URL-адреса AMP с Signed Exchanges.

Этот новый профиль позволяет включать расширение CanSignHttpExchanges в сертификаты OV и EV SSL/TLS. Если включен для вашей учетной записи, параметр Включить расширение CanSignHttpExchanges в сертификат отображается в формах запроса сертификата OV и EV SSL/TLS в разделе Дополнительные параметры сертификата. См. Получить свой сертификат Signed HTTP Exchanges.

Чтобы включить данный профиль сертификата для своей учетной записи, свяжитесь с Менеджером вашей учетной записи или обратитесь в нашу службу технической поддержки.

Апрель 1, 2019

compliance

Центры сертификации больше не могут выдавать 30-дневные открытые сертификаты SSL, содержащие нижние подчеркивания в доменных именах (общие имена и альтернативные имена субъектов).

Примечание. Предпочтительным решением для нижнего подчеркивания является переименование имен хостов (FQDN), которые содержат нижние подчеркивания, и замена сертификатов. Тем не менее, в тех ситуациях, когда переименование невозможно, вы можете использовать частные сертификаты и в некоторых случаях вы можете использовать сертификат с поддержкой субдоменов, который защищает весь домен.

Для ознакомления с более подробной информацией см. Исключение нижних подчеркиваний в доменных именах.

Март 31, 2019

compliance

Последний день, когда вы можете заказать 30-дневные открытые SSL-сертификаты, содержащие нижние подчеркивания в доменных именах (общие имена и альтернативные имена субъектов), в любом центре сертификации.

Примечание. Предпочтительным решением для нижнего подчеркивания является переименование имен хостов (FQDN), которые содержат нижние подчеркивания, и замена сертификатов. Тем не менее, в тех ситуациях, когда переименование невозможно, вы можете использовать частные сертификаты и в некоторых случаях вы можете использовать сертификат с поддержкой субдоменов, который защищает весь домен.

Для ознакомления с более подробной информацией см. Исключение нижних подчеркиваний в доменных именах.

Февраль 22, 2019

compliance

С вашей стороны никакие действия не требуются.

С 13 февраля 2019 года DigiCert больше не выдает сертификаты ECC TLS/SSL (то есть сертификаты с ключами ECDSA) с парой кривая-хэш P-384 с SHA-2 512 (SHA-512). Данная пара кривая-хэш не соответствует политике корневого хранилища Mozilla.

Политика корневого хранилища Mozilla поддерживает только эти пары кривая-хэш:

  • P‐256 с SHA-256
  • P‐384 с SHA-384

Примечание. У вас есть сертификат с P-384 с парой кривая-хэш SHA-512? Не беспокойтесь! Когда наступит срок обновить сертификат, он будет автоматически выдан с использованием поддерживаемой пары кривая-хэш.

Январь 14, 2019

compliance

Центры сертификации (ЦС) отозвали все открытые сертификаты SSL, содержащие нижние подчеркивания (в общем имени и альтернативных именах субъектов), с максимальным сроком действия более 30 дней к концу дня (всемирное скоординированное время UTC).

Если у вас был SSL-сертификат с общим сроком действия не менее 31 дня (включая все 1-, 2- и 3-летние сертификаты), срок действия которого истек после 14 января 2019 г., центр сертификации, выдавший ваш сертификат, должен был отозвать его.

Для ознакомления с более подробной информацией см. Исключение нижних подчеркиваний в доменных именах.

compliance

DigiCert начала выпускать открытые SSL-сертификаты с нижним подчеркиванием на ограниченный период времени.

  • Максимальный срок действия составляет 30 дней для открытых сертификатов SSL, содержащих нижние подчеркивания в доменных именах.
  • Нижних подчеркиваний не должно быть в базовом домене ("example_domain.com" не допускается).
  • Нижних подчеркиваний не должно быть в крайней левой части домена ("_example.domain.com" и "example_domain.example.com" не допускаются).

Для ознакомления с более подробной информацией см. Исключение нижних подчеркиваний в доменных именах.

new

В верхнем меню мы добавили два новых параметра поддержки контактных лиц (значки телефона и чата), чтобы упростить обращение в службу поддержки из CertCentral (по электронной почте, в чате или по телефону).

Пиктограмма телефона предоставляет возможность просмотреть адрес электронной почты и данные телефона. Пиктограмма чата открывает окно чата, где вы можете начать чат с одним из наших специальных сотрудников службы поддержки.

enhancement

Мы внесли улучшения в меню на боковой панели, упростив просмотр элементов меню для посещаемых вами страниц. Теперь, когда вы посещаете страницу в CertCentral, рядом с элементами меню этой страницы будет отображаться горизонтальная синяя панель.

fix

Мы исправили ошибку в функции Добавить организацию в формах запроса на сертификат SSL/TLS, когда статус подтверждения действительности (подтвержденный EV и OV) не был включен для новых организаций, добавляемых и проверяемых в рамках заказа на сертификат.

Теперь новые организации, добавленные при заказе SSL-сертификата, будут иметь статус Подтвержденная.

Примечание. Статус подтверждения действительности организации не появляется до тех пор, пока мы полностью не подтвердим достоверность организации.

Октябрь 1, 2018

compliance

Изменения обеспечения соответствия отраслевым стандартам. Для публичных доверенных сертификатов нижние подчеркивания (_) больше не могут быть включены в субдомены. RFC 5280 теперь применяется и для субдоменов.

См. Публичные доверенные сертификаты – Элементы данных, нарушающие отраслевые стандарты.

Август 1, 2018

compliance

В соответствии с отраслевыми стандартами были изменены и удалены два метода подтверждения полномочий управления доменом (DCV) из основополагающих требований (BR).

Начиная с 1 августа 2018 года центры сертификации больше не могут использовать следующие методы подтверждения полномочий управления доменом (DCV):

  • 3.2.2.4.1 Валидация кандидата в качестве контактного лица домена
    Данный метод позволял ЦС подтверждать полномочия лица, запрашивающего сертификат, на управление доменом, указанным в заказе на сертификат SSL/TLS, убедившись в том, что инициатор запроса является контактным лицом домена, сверившись непосредственно с регистратором доменных имен.
  • 3.2.2.4.5 Документ авторизации домена
    Этот метод позволял ЦС подтверждать полномочия лица, запрашивающего сертификат, на управление доменом, указанным в заказе на сертификат SSL/TLS, убедившись в том, что инициатор запроса вправе размещать заказ на сертификат для данного домена, как указано в документе авторизации домена.
    См. Бюллетень 218: Удалить методы подтверждения полномочий 1 и 5.

Ознакомиться с более подробной информацией о доступных методах DCV можно в разделе Методы подтверждения полномочий управления доменом (DCV).

Май 25, 2018

compliance

Соблюдение компанией DigiCert требований GDPR

Общий регламент ЕС по защите персональных данных (GDPR) — это закон Европейского Союза о защите данных и конфиденциальности всех лиц в пределах ЕС. Основная цель — предоставить гражданам и жителям ЕС больше возможностей управления своими личными данными и упростить нормативно-правовую среду для международного бизнеса, унифицировав положения в рамках ЕС. Регламент GDPR вступил в силу 25 мая 2018 года. Более подробно »

Заявление DigiCert

DigiCert приложил усилия с целью ознакомления с регламентом GDPR и соблюдения его требований. На момент вступления в силу Регламента GDPR 25 мая 2018 года мы соответствовали его требованиям. См. Соответствие требованиям Общего регламента ЕС по защите персональных данных (GDPR).

compliance

Влияние GDPR на подтверждение полномочий управления доменом по электронной почте на основе WHOIS (DCV)

Общий регламент ЕС по защите персональных данных (GDPR) вступил в силу 25 мая 2018 года. Требования регламента GDPR направлены на обеспечение защиты данных для физических лиц (не юридических лиц), проживающих в странах Европейского Союза (ЕС).

DigiCert совместно с ICANN предприняла меры по обеспечению доступности информации WHOIS. Международная организация по управлению доменными именами и IP-адресами (ICANN) объявила, что она продолжает требовать от операторов реестров и регистраторов предоставления информации в систему WHOIS, с некоторыми изменениями в отношении GDPR. См. Примечание, касающееся WHOIS, GDPR и подтверждения полномочий управления доменом.

Вы доверяете проверке полномочий управления доменом по электронной почте на основе WHOIS?

Обратитесь к своему регистратору доменов, чтобы выяснить, использует ли он анонимную электронную почту или веб-форму для доступа центров сертификации к данным WHOIS в рамках обеспечения ими соответствия требованиям GDPR.

Для наиболее эффективного процесса подтверждения полномочий управления доменом обратитесь к своему регистратору с просьбой продолжить использовать ваши полные опубликованные записи или использовать анонимный адрес электронной почты для ваших доменов. Использование этих параметров обеспечит нулевое или минимальное влияние на наши процессы подтверждения полномочий управления доменом.

Использует ли ваш регистратор анонимную электронную почту или веб-форму в качестве способа доступа ЦС к данным WHOIS? Если это так, мы можем отправлять электронные письма в рамках DCV по адресам, указанным в записи WHOIS.

Ваш регистратор скрывает или удаляет адреса электронной почты? Если это так, вам необходимо будет использовать другие методы, чтобы доказать полномочия управления своими доменами:

  • Сконструированное электронное сообщение контрольного примера
  • DNS TXT
  • DNS CNAME
  • Практическая демонстрация HTTP

Для ознакомления с дополнительной информацией о сконструированных адресах электронной почты и других альтернативных методах DCV см. Методы подтверждения полномочий управления доменом (DCV).

Май 10, 2018

compliance

Отраслевые стандарты позволяют центру сертификации (ЦС) выдавать сертификат SSL/TLS для домена только с записями CAA, не содержащими тегов свойств "issue"/"issuewild".

Когда ЦС запрашивает ресурсные записи (РЗ) по авторизации центра сертификации (АЦС) (RR CAA) для домена и находит записи без тегов свойств "issue" или "issuewild" в них, ЦС может интерпретировать это как разрешение на выдачу сертификата SSL/TLS для этого домена. См. Бюллетень 219: Разъяснение обработки наборов записей CAA без тега свойства "issue"/"issuewild".

Для ознакомления с более подробной информацией о процессе проверки РЗ АЦС, см. нашу страницу Проверка записи ресурса DNS CAA.

Апрель 1, 2018

compliance

В рамках общеотраслевого перехода с TLS 1.0/1.1 и в целях обеспечения соблюдения требований стандарта PCI DigiCert отключила TLS 1.0/1.1 1 апреля 2018 года. С этой даты DigiCert поддерживает только TLS 1.2 и выше. См. Исключение TLS 1.0 и 1.1.

Март 2, 2018

compliance

DigiCert реализует усовершенствованный процесс подтверждения действительности организационного подразделения (ОП (OU)).

Основополагающие требования:

"Центр сертификации (ЦС) ДОЛЖЕН реализовывать процесс, который запрещает атрибуту OU включать имя, администратора базы данных (DBA), торговую марку, товарный знак, адрес, местоположение или другой текст, который относится к конкретному физическому или юридическому лицу, если только CA не убедился в действительности этой информации в соответствии с разделом 11.2…"

Примечание. Поле OU является необязательным полем. Не требуется включать организационное подразделение в запрос сертификата.

Март 1, 2018

compliance

С 1 марта 2018 года максимально допустимый срок действия составит 825 дней для переизданного (или выданного дубликата) открытого 3-летнего сертификата SSL/TLS.

В отношении 3-летнего сертификата OV, выпущенного после 1 марта 2017 года, следует иметь в виду, что в течение первого года 3-летнего срока действия сертификата у всех переизданных и дублированных сертификатов может быть более короткий срок, чем у "оригинального" сертификата, и сначала истекает срок действия этих переизданных сертификатов. См.
Каким образом это влияет на переиздание моего 3-летнего сертификата и аспекты, касающиеся его дублирования?.

Февраль 21, 2018

compliance

По состоянию на 21 февраля 2018 года DigiCert предлагает только 1 и 2-летние открытые сертификаты SSL/TLS вследствие изменений в отраслевых стандартах, которые ограничивают максимальный срок действия общедоступного сертификата SSL до 825 дней (приблизительно 27 месяцев). См. 20 февраля 2018 года — последний день для заказов на новые 3-летние сертификаты.

compliance

Предназначено только для информационных целей, никаких действий не требуется.

По состоянию на 1 февраля 2018 г. DigiCert публикует все вновь выпускаемые открытые сертификаты SSL/TLS в общедоступных журналах прозрачности сертификатов (CT). Это не влияет на какие-либо сертификаты OV, выпущенные до 1 февраля 2018 г. Обратите внимание на то, что запись в журнале CT для сертификатов EV SSL требуется с 2015 г. См. Сертификаты DigiCert будут регистрироваться для открытого доступа с 1 февраля.

enhancement

Новая функция "Исключить из журнала CT при заказе сертификата" добавлена в CertCentral. При активации этой функции (Настройки >Предпочтительные настройки) вы разрешаете пользователям учетной записи не публиковать открытые сертификаты SSL/TLS в общедоступных журналах CT по каждому заказу на сертификат.

Заказывая сертификат SSL, пользователи имеют возможность не регистрировать сертификат SSL/TLS в общедоступных журналах CT. Данная функция доступна, когда пользователь заказывает новый сертификат, повторно выпускает и продлевает сертификат. См. Руководство по регистрации в журнале CT открытых сертификатов CertCentral SSL/TLS .

enhancement

Новое необязательное поле отказа от регистрации в журнале CT (disable_ct) добавлено к конечным точкам API запроса сертификата SSL. Также добавлена новая конечная точка для отказа от регистрации в журнале CT выданного сертификата (ct-статус). См. Руководство по отказу от регистрации в журнале CT открытых сертификатов CertCentral API SSL/TLS.

Октябрь 24, 2017

compliance

Изменение отраслевых стандартов в отношении проверок записей ресурсов CAA. Изменен процесс проверки цепочек CNAME, содержащих не более 8 записей CNAME. В поиск не входит родительский объект цели записи CNAME. См. раздел Проверка записей ресурсов DNS CAA.

Сентябрь 8, 2017

compliance

Изменение отраслевых стандартов на выдачу сертификатов. Изменен процесс выдачи сертификата: предусмотрена проверка записей ресурсов DNS CAA. См. раздел Проверка записей ресурсов DNS CAA.

Июль 28, 2017

compliance

Изменения обеспечения соответствия отраслевым стандартам; улучшенные проверки нарушений RFC 5280 и обеспечение соблюдения. См. Публичные доверенные сертификаты – Элементы данных, нарушающие отраслевые стандарты.

Июль 21, 2017

compliance

Переход с отраслевых стандартов на процесс подтверждения полномочий управления. Информация о подтверждении действительности (DCV или действительности организации) со сроком более 825 дней подлежит проверке перед обработкой запроса на повторный выпуск, продление или выдачу сертификата. Более подробно »

Июль 10, 2017

compliance

Изменения обеспечения соответствия отраслевым стандартам; добавлена поддержка для дополнительных методов подтверждения полномочий управления доменом (DCV). См. Предварительная проверка домена: Методы проверки контроля над доменом (DCV).