Фильтрация по: industry changes x очистить
compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

compliance

DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1

Во вторник 1 декабря 2020 г. MST, Компания DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1 и сертификатов для подписывания кода SHA-1 EV.

Примечание: Все существующие сертификаты для подписывания кода SHA-1 / сертификаты EV для подписывания кода будут оставаться в силе до истечения срока их действия.

Почему DigiCert вносит эти изменения?

В целях обеспечения соответствия требованиям новых отраслевых стандартов центры сертификации (ЦС) должны внести следующие изменения до 1 января 2021 года:

  • Прекратить выпуск сертификатов для подписывания кода SHA-1
  • Прекратить выпуск сертификатов SHA-1 промежуточных ЦС и корневых сертификатов SHA-1 для выпуска сертификатов для подписывания кода алгоритма SHA-256 и с меткой времени

См. Приложение A в Базовых требований к выпуску и управлению открытыми доверенными сертификатами для подписывания кода.

Как изменения в сертификаты для подписывания кода SHA-1 повлияют на меня?

Если вы используете сертификаты для подписывания кода SHA-1, примите необходимые меры до 1 декабря 2020 года:

  • Получите новые сертификаты SHA-1
  • Продлите свои сертификаты SHA-1
  • Перевыпустите и получите необходимые сертификаты SHA-1

Для ознакомления с дополнительной информацией об изменениях, запланированных на 1 декабря 2020 года, см. статью нашей базы знаний DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1.

В случае возникновения дополнительных вопросов обратитесь к администратору своей учётная запись или в нашу  службу поддержки.

compliance

DigiCert прекратит выпуск 2-летних открытых сертификатов SSL/TLS

27 августа 2020 года 17:59 MDT (23:59 UTC), DigiCert прекращает выпуск двухлетних открытых сертификатов SSL/TLS с целью подготовки к изменениям в отрасли, касающимся максимально допустимого срока действия открытых сертификатов SSL/TLS.

После 27 августа вы сможете приобретать открытые сертификаты SSL/TLS сроком на 1 год.

Что нужно сделать?

Чтобы обеспечить получение необходимых 2-летних открытых сертификатов SSL/TLS до крайнего срока, т.е. до 27 августа:

  • Проведите инвентаризацию необходимых 2-летних сертификатов — новых и продленных.
  • Закажите все необходимые вам 2-летние сертификаты до 13 августа.
  • Своевременно отвечайте на все запросы, касающиеся подтверждения достоверности доменов и организаций.

Для ознакомления с информацией о том, как это изменение повлияет на находящиеся на рассмотрении заказы на выпуск сертификатов, перевыпуски и дубликаты, см. раздел Завершение срока действия 2-летних сертификатов DV, OV и открытых сертификатов EV SSL/TLS.

DigiCert Services API

Тем, кто использует DigiCert Services API, необходимо будет обновить свои рабочие процессы API с целью учета нового максимального срока действия сертификата, составляющего 397 дней, для запросов, размещенных после 27 августа. См. API служб.

После 27 августа 2020 г.

После 27 августа вы сможете приобретать открытые сертификаты SSL/TLS сроком на 1 год. Ем не менее, чтобы максимально увеличить покрытие SSL/TLS, приобретите новые сертификаты с планом долгосрочного обслуживания DigiCert®. См. План долгосрочного обслуживания.

Почему DigiCert вносит это изменение?

1 сентября 2020 года в отрасли отменяются двухгодичные сертификаты. В дальнейшем центры сертификации (ЦС) смогут выпускать только открытые сертификаты DV, OV и EV SSL/TLS с максимальным сроком действия 398 дней (около 13 месяцев).

DigiCert введет максимальный срок действия, равный 397 дням, для всех открытых сертификатов SSL/TLS в качестве меры предосторожности для учета разницы в часовых поясах и во избежание выпуска открытого сертификата SSL/TLS с превышением нового обязательного максимального срока действия, равного 398 дням.

Ознакомьтесь с нашим блогом для ознакомления с более подробной информацией о переходе на открытые сертификаты SSL/TLS сроком на 1 год: Открытые сертификаты Public-Trust SSL сроком на один год: Помощь со стороны DigiCert.