Фильтрация по: intermediate CA certificates x очистить
compliance

Industry moves to 3072-bit key minimum RSA code signing certificates

Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.

  • Stop issuing 2048-bit key code signing certificates
  • Only issue 3072-bit key or stronger code signing certificates
  • Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.

See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,

How do these changes affect my existing 2048-bit key certificates?

All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.

What if I need 2048-bit key code signing certificates?

Take these actions, as needed, before May 27, 2021:

  • Order new 2048-bit key certificates
  • Renew expiring 2048-bit key certificates
  • Reissue 2048-bit key certificates

How do these changes affect my code signing certificate process starting May 27, 2021?

Reissues for code signing certificate

Starting May 27, 2021, all reissued code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

New and renewed code signing certificates

Starting May 27, 2021, all new and renewed code signing certificates will be:

  • 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
  • Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.

CSRs for code signing certificates

Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.

eTokens for EV code signing certificates

Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.

  • When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
  • When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
  • You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.

HSMs for EV code signing certificates

Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.

New ICA and root certificates

Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).

RSA ICA and root certificates:

  • DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
  • DigiCert Trusted Root G4

ECC ICA and root certificates:

  • DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
  • DigiCert Global Root G3

No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.

If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).

References

If you have questions or concerns, please contact your account manager or our support team.

enhancement

CertCentral Services API: Auto-reissue support for Multi-year Plans

We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.

You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.

Enable auto-reissue for a new order

To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue.

By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue parameter to 1 in the body of your request.

Example request body:

Example order request body with auto reissue enabled

Note: In new order requests, we ignore the auto_reissue parameter if:

  • The product does not support Multi-year Plans.
  • Multi-year Plans are disabled for the account.

Update auto-reissue setting for existing orders

To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.

Get auto-reissue setting for an existing order

To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue. The auto_reissue parameter returns the current auto-reissue setting for the order.

new

ICA certificate chain selection for public DV flex certificates

We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:

  • GeoTrust DV SSL
  • Thawte SSL 123 DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  • Encryption Everywhere DV

You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.

This feature allows you to:

  • Set the default ICA certificate chain for each supported public DV certificate.
  • Control which ICA certificate chains certificate requestors can use to issue their DV certificate.

Configure ICA certificate chain selection

To enable ICA selection for your account:

  1. Contact your account manager or our Support team.
  2. Then, in your CertCentral account, in the left main menu, go to Settings > Product Settings.
  3. On the Product Settings page, configure the default and allowed intermediates for each supported and available DV certificate.

For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.

new

DigiCert Services API: DV certificate support for ICA certificate chain selection

In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:

Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.

Example DV certificate request:

Example DV TLS certificate request

For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.

compliance

DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1

Во вторник 1 декабря 2020 г. MST, Компания DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1 и сертификатов для подписывания кода SHA-1 EV.

Примечание: Все существующие сертификаты для подписывания кода SHA-1 / сертификаты EV для подписывания кода будут оставаться в силе до истечения срока их действия.

Почему DigiCert вносит эти изменения?

В целях обеспечения соответствия требованиям новых отраслевых стандартов центры сертификации (ЦС) должны внести следующие изменения до 1 января 2021 года:

  • Прекратить выпуск сертификатов для подписывания кода SHA-1
  • Прекратить выпуск сертификатов SHA-1 промежуточных ЦС и корневых сертификатов SHA-1 для выпуска сертификатов для подписывания кода алгоритма SHA-256 и с меткой времени

См. Приложение A в Базовых требований к выпуску и управлению открытыми доверенными сертификатами для подписывания кода.

Как изменения в сертификаты для подписывания кода SHA-1 повлияют на меня?

Если вы используете сертификаты для подписывания кода SHA-1, примите необходимые меры до 1 декабря 2020 года:

  • Получите новые сертификаты SHA-1
  • Продлите свои сертификаты SHA-1
  • Перевыпустите и получите необходимые сертификаты SHA-1

Для ознакомления с дополнительной информацией об изменениях, запланированных на 1 декабря 2020 года, см. статью нашей базы знаний DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1.

В случае возникновения дополнительных вопросов обратитесь к администратору своей учётная запись или в нашу  службу поддержки.

Ноябрь 2, 2020

new

DigiCert заменяет множественные сертификаты промежуточных ЦС

2 ноября 2020 г. компания DigiCert заменяет очередной набор сертификатов промежуточных центров сертификации (ICA). Список заменяемых сертификатов ICA см. в статье нашей базы данных Обновление DigiCert ICA.

Как это повлияет на меня?

Развертывание новых промежуточных центров сертификации (ICA) не влияет на существующие сертификаты. Мы не удаляем старый ICA из хранилищ сертификатов до тех пор, пока не истечет срок действия всех выпущенных таким центром сертификатов. Это означает, что активные сертификаты, выпущенные заменяемым ICA, будут продолжать пользоваться доверием.

Тем не менее, это повлияет на существующие сертификаты в случае их перевыпуска, так как они будут выпускаться новым центром ICA. Мы советуем вам всегда включать указанный ICA в каждый устанавливаемый вами сертификат. Это всегда было рекомендуемой установившейся практикой для того, чтобы замена ICA оставалась незамеченной.

Не требуется осуществлять какие-либо действия, если только вы не совершаете какое-либо из следующих действий:

  • Привязка старых версий сертификатов промежуточных ЦС
  • Жесткое кодирование принятия старых версий сертификатов промежуточных ЦС
  • Управление хранилищем доверия, в котором находятся старые версии сертификатов промежуточных ЦС

Если вы совершаете какое-либо из указанных выше действий, мы рекомендуем обновить вашу среду в кратчайшие сроки. Прекратите привязку жесткого кодирования ICA или внесите необходимые изменения для обеспечения статуса доверенных для сертификатов, выпускаемых новыми центрами ICA (другими словами, вы можете выполнить привязку к их обновленному центру ICA и доверенному корневому каталогу).

Замена сертификатов промежуточного ЦС

Обязательно следите за перечисленными ниже страницами. Эти страницы являются активными и регулярно обновляются с целью включения информации о замене сертификатов ICA и копий новых сертификатов промежуточных центров DigiCert.

Почему DigiCert заменяет сертификаты промежуточного ЦС?

Мы заменяем промежуточные центры сертификации (ICA) для:

  • Повышения активности клиентов по замене ICA
  • Уменьшения объема выпуска сертификатов любым конкретным центром ICA в целях смягчения влияния изменений в отраслевых стандартах и руководствах CA/Browser Forum, вносимые в промежуточные сертификаты и сертификаты конечных объектов
  • Повышения безопасности Интернета за счет обеспечения работы всех центров ICA с использованием последних усовершенствований

В случае возникновения каких-либо вопросов или опасений обратитесь к администратору своей учётная запись или в нашу службу поддержки.

new

Выбор цепочки сертификатов ICA для открытых гибких сертификатов OV и EV

Мы рады сообщить о том, что открытые сертификаты OV и EV с гибкими возможностями теперь поддерживают выбор цепочки сертификатов промежуточных ЦС.

Вы можете добавить в свою yчётная запись CertCentral параметр, позволяющий контролировать, какая цепочка сертификатов центра сертификации DigiCert ICA выдает "гибкие" открытые сертификаты OV и EV.

Этот параметр позволяет:

  • Задавать цепочки сертификатов ICA по умолчанию для каждого открытого гибкого сертификата OV и EV.
  • Контролировать, какие цепочки сертификатов ICA могут использовать запрашивающие сертификаты лица для выпуска гибкого сертификата.

Настройка выбора цепочки сертификатов ICA

Для включения функции выбора ICA для вашей учётная запись обратитесь к менеджеру вашей учётная запись или к специалистам нашей группы поддержки. Затем в своей учётная запись CertCentral на странице «Настройки продукта» (в левой части главного меню перейдите в Настройки > Настройки продукта) настройте промежуточные элементы по умолчанию и разрешенные промежуточные элементы для каждого типа гибкого сертификата OV и EV.

Более подробную информацию и пошаговые инструкции см. в разделе Параметр цепочки сертификатов ICA для открытых гибких сертификатов OV и EV.

new

Поддержка DigiCert Services API для выбора цепочки сертификатов ICA

В DigiCert Services API мы внесли следующие обновления для поддержки выбора ICA в ваших интеграциях API:

  • Конечная точка Созданный новый продукт Ограничения для продуктов
    Используйте эту конечную точку для ознакомления с информацией об ограничения и параметрах настройки для продуктов, разрешенных для каждого подразделения в вашей учётная запись. Включает значения ID для заданных по умолчанию и разрешенных цепочек сертификатов ICA для каждого продукта.
  • Добавлена поддержка выбора ICA в запросах заказов на открытые гибкие сертификаты TLS OV и EV
    После завершения настройки разрешенных промежуточных элементов для продукта можно выбрать цепочку сертификатов ICA, которая должна выпустить ваш сертификат, когда вы используете API для отправки запроса на заказ.
    Укажите ID выпускающего сертификат ICA в качестве значения для параметра ca_cert_id в теле своего запроса на заказ

Пример запроса на гибкий сертификат:

Example flex certificate request

Для ознакомления с дополнительной информацией об использовании функции выбора ICA в своих интеграциях API см. раздел Жизненный цикл сертификата OV/EV — (Необязательный) Выбор ICA.