Май 27, 2021
Industry moves to 3072-bit key minimum RSA code signing certificates
Starting May 27, 2021, to comply with new industry standards for code signing certificates, DigiCert will make the following changes to our code signing certificate process.
- Stop issuing 2048-bit key code signing certificates
- Only issue 3072-bit key or stronger code signing certificates
- Use 4096-bit key intermediate CA and root certificates to issue our code signing certificates.
See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates to learn more about these industry changes,
How do these changes affect my existing 2048-bit key certificates?
All existing 2048-bit key size code signing certificates issued before May 27, 2021, will remain active. You can continue to use these certificates to sign code until they expire.
What if I need 2048-bit key code signing certificates?
Take these actions, as needed, before May 27, 2021:
- Order new 2048-bit key certificates
- Renew expiring 2048-bit key certificates
- Reissue 2048-bit key certificates
How do these changes affect my code signing certificate process starting May 27, 2021?
Reissues for code signing certificate
Starting May 27, 2021, all reissued code signing certificates will be:
- 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
- Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.
New and renewed code signing certificates
Starting May 27, 2021, all new and renewed code signing certificates will be:
- 3072-bit key or stronger. See eTokens for EV code signing certificates and HSMs for EV code signing certificates below.
- Automatically issued from new intermediate CA and root certificates. See New ICA and root certificates below.
CSRs for code signing certificates
Starting May 27, 2021, you must use a 3072-bit RSA key or larger to generate all certificate signing requests (CSR). We will no longer accept 2048-bit key CSRs for code signing certificate requests.
eTokens for EV code signing certificates
Starting May 27, 2021, you must use an eToken that supports 3072-bit keys when you reissue, order, or renew an EV code signing certificate.
- When you order or renew an EV code signing certificate, DigiCert includes a 3072-bit eToken with your purchase. DigiCert provides an eToken with the Preconfigured Hardware Token provisioning option.
- When your reissue your EV code signing certificate reissues, you must provide your own 3072-bit eToken. If you don't have one, you will be unable to install your reissued certificate on your eToken.
- You must have a FIPS 140-2 Level 2 or Common Criteria EAL4+ compliant device.
HSMs for EV code signing certificates
Starting May 27, 2021, you must use an HSM that supports 3072-bit keys. Contact your HSM vendor for more information.
New ICA and root certificates
Starting May 27, 2021, DigiCert will issue all new code signing certificates from our new RSA and ECC intermediate CA and root certificates (new, renewed, and reissued).
RSA ICA and root certificates:
- DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
- DigiCert Trusted Root G4
ECC ICA and root certificates:
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Global Root G3
No action is required unless you practice certificate pinning, hard code certificate acceptance, or operate a trust store.
If you do any of these things, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICA certificates are trusted (in other words, they can chain up to their issuing ICA and trusted root certificates).
References
- To learn more about the Code Signing certificate changes, see Code signing changes in 2021.
- To get a copy of the new intermediate CA and root certificates, see DigiCert Trusted Root Authority Certificates
If you have questions or concerns, please contact your account manager or our support team.
Март 12, 2021
CertCentral Services API: Auto-reissue support for Multi-year Plans
We are happy to announce that the CertCentral Services API now supports automatic certificate reissue requests (auto-reissue) for Multi-year Plans. The auto-reissue feature makes it easier to maintain SSL/TLS coverage on your Multi-year Plans.
You can enable auto-reissue for individual orders in your CertCentral account. When auto-reissue is enabled, we automatically create and submit a certificate reissue request 30 days before the most recently issued certificate on the order expires.
Enable auto-reissue for a new order
To give you control over the auto-reissue setting for new Multi-year Plans, we added a new request parameter to the endpoints for ordering DV, OV, and EV TLS/SSL certificates: auto_reissue.
By default, auto-reissue is disabled for all orders. To enable auto-reissue when you request a new Multi-year Plan, set the value of the auto_reissue parameter to 1 in the body of your request.
Example request body:
Note: In new order requests, we ignore the auto_reissue parameter if:
- The product does not support Multi-year Plans.
- Multi-year Plans are disabled for the account.
Update auto-reissue setting for existing orders
To give you control over the auto-reissue setting for existing Multi-year Plans, we added a new endpoint: Update auto-reissue settings. Use this endpoint to enable or disable the auto-reissue setting for an order.
Get auto-reissue setting for an existing order
To help you track the auto-reissue setting for existing certificate orders, we added a new response parameter to the Order info endpoint: auto_reissue. The auto_reissue parameter returns the current auto-reissue setting for the order.
ICA certificate chain selection for public DV flex certificates
We are happy to announce that select public DV certificates now support Intermediate CA certificate chain selection:
- GeoTrust DV SSL
- Thawte SSL 123 DV
- RapidSSL Standard DV
- RapidSSL Wildcard DV
- Encryption Everywhere DV
You can add a feature to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues the end-entity certificate when you order these public DV products.
This feature allows you to:
- Set the default ICA certificate chain for each supported public DV certificate.
- Control which ICA certificate chains certificate requestors can use to issue their DV certificate.
Configure ICA certificate chain selection
To enable ICA selection for your account:
- Contact your account manager or our Support team.
- Then, in your CertCentral account, in the left main menu, go to Settings > Product Settings.
- On the Product Settings page, configure the default and allowed intermediates for each supported and available DV certificate.
For more information and step-by-step instructions, see the Configure the ICA certificate chain feature for your public TLS certificates.
DigiCert Services API: DV certificate support for ICA certificate chain selection
In the DigiCert Services API, we made the following updates to support ICA selection in your DV certificate order requests:
- Updated the Product list endpoint
After adding the ICA certificate selection chain feature to your account, the Product list endpoint returns each ICA certificate's name and ID available to issue end-entity certificates for the supported DV products (see allowed_ca_certs). - Updated the Product limits endpoint
After you configure the allowed and default ICA certificates for a DV product, the Product limits endpoint returns the default issuing ICA (default_intermediate) and allowed issuing ICAs (allowed_intermediates) that certificate requestor with a given container and user role assignment can select. - Updated the Product info endpoint
The Product list endpoint now returns the name, ID, and certificate chain information for the issuing ICAs you can select when you request a given product (see allowed_ca_certs). - Added support for ICA chain selection to these DV certificate order requests:
Pass in the issuing ICA certificate's ID as the value for the ca_cert_id parameter in your order request's body.
Example DV certificate request:
For more information about using ICA selection in your API integrations, see DV certificate lifecycle – Optional ICA selection.
Декабрь 1, 2020
DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1
Во вторник 1 декабря 2020 г. MST, Компания DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1 и сертификатов для подписывания кода SHA-1 EV.
Примечание: Все существующие сертификаты для подписывания кода SHA-1 / сертификаты EV для подписывания кода будут оставаться в силе до истечения срока их действия.
Почему DigiCert вносит эти изменения?
В целях обеспечения соответствия требованиям новых отраслевых стандартов центры сертификации (ЦС) должны внести следующие изменения до 1 января 2021 года:
- Прекратить выпуск сертификатов для подписывания кода SHA-1
- Прекратить выпуск сертификатов SHA-1 промежуточных ЦС и корневых сертификатов SHA-1 для выпуска сертификатов для подписывания кода алгоритма SHA-256 и с меткой времени
См. Приложение A в Базовых требований к выпуску и управлению открытыми доверенными сертификатами для подписывания кода.
Как изменения в сертификаты для подписывания кода SHA-1 повлияют на меня?
Если вы используете сертификаты для подписывания кода SHA-1, примите необходимые меры до 1 декабря 2020 года:
- Получите новые сертификаты SHA-1
- Продлите свои сертификаты SHA-1
- Перевыпустите и получите необходимые сертификаты SHA-1
Для ознакомления с дополнительной информацией об изменениях, запланированных на 1 декабря 2020 года, см. статью нашей базы знаний DigiCert прекращает выпуск сертификатов для подписывания кода SHA-1.
В случае возникновения дополнительных вопросов обратитесь к администратору своей учётная запись или в нашу службу поддержки.
Ноябрь 2, 2020
DigiCert заменяет множественные сертификаты промежуточных ЦС
2 ноября 2020 г. компания DigiCert заменяет очередной набор сертификатов промежуточных центров сертификации (ICA). Список заменяемых сертификатов ICA см. в статье нашей базы данных Обновление DigiCert ICA.
Как это повлияет на меня?
Развертывание новых промежуточных центров сертификации (ICA) не влияет на существующие сертификаты. Мы не удаляем старый ICA из хранилищ сертификатов до тех пор, пока не истечет срок действия всех выпущенных таким центром сертификатов. Это означает, что активные сертификаты, выпущенные заменяемым ICA, будут продолжать пользоваться доверием.
Тем не менее, это повлияет на существующие сертификаты в случае их перевыпуска, так как они будут выпускаться новым центром ICA. Мы советуем вам всегда включать указанный ICA в каждый устанавливаемый вами сертификат. Это всегда было рекомендуемой установившейся практикой для того, чтобы замена ICA оставалась незамеченной.
Не требуется осуществлять какие-либо действия, если только вы не совершаете какое-либо из следующих действий:
- Привязка старых версий сертификатов промежуточных ЦС
- Жесткое кодирование принятия старых версий сертификатов промежуточных ЦС
- Управление хранилищем доверия, в котором находятся старые версии сертификатов промежуточных ЦС
Если вы совершаете какое-либо из указанных выше действий, мы рекомендуем обновить вашу среду в кратчайшие сроки. Прекратите привязку жесткого кодирования ICA или внесите необходимые изменения для обеспечения статуса доверенных для сертификатов, выпускаемых новыми центрами ICA (другими словами, вы можете выполнить привязку к их обновленному центру ICA и доверенному корневому каталогу).
Замена сертификатов промежуточного ЦС
Обязательно следите за перечисленными ниже страницами. Эти страницы являются активными и регулярно обновляются с целью включения информации о замене сертификатов ICA и копий новых сертификатов промежуточных центров DigiCert.
Почему DigiCert заменяет сертификаты промежуточного ЦС?
Мы заменяем промежуточные центры сертификации (ICA) для:
- Повышения активности клиентов по замене ICA
- Уменьшения объема выпуска сертификатов любым конкретным центром ICA в целях смягчения влияния изменений в отраслевых стандартах и руководствах CA/Browser Forum, вносимые в промежуточные сертификаты и сертификаты конечных объектов
- Повышения безопасности Интернета за счет обеспечения работы всех центров ICA с использованием последних усовершенствований
В случае возникновения каких-либо вопросов или опасений обратитесь к администратору своей учётная запись или в нашу службу поддержки.
Октябрь 13, 2020
Выбор цепочки сертификатов ICA для открытых гибких сертификатов OV и EV
Мы рады сообщить о том, что открытые сертификаты OV и EV с гибкими возможностями теперь поддерживают выбор цепочки сертификатов промежуточных ЦС.
Вы можете добавить в свою yчётная запись CertCentral параметр, позволяющий контролировать, какая цепочка сертификатов центра сертификации DigiCert ICA выдает "гибкие" открытые сертификаты OV и EV.
Этот параметр позволяет:
- Задавать цепочки сертификатов ICA по умолчанию для каждого открытого гибкого сертификата OV и EV.
- Контролировать, какие цепочки сертификатов ICA могут использовать запрашивающие сертификаты лица для выпуска гибкого сертификата.
Настройка выбора цепочки сертификатов ICA
Для включения функции выбора ICA для вашей учётная запись обратитесь к менеджеру вашей учётная запись или к специалистам нашей группы поддержки. Затем в своей учётная запись CertCentral на странице «Настройки продукта» (в левой части главного меню перейдите в Настройки > Настройки продукта) настройте промежуточные элементы по умолчанию и разрешенные промежуточные элементы для каждого типа гибкого сертификата OV и EV.
Более подробную информацию и пошаговые инструкции см. в разделе Параметр цепочки сертификатов ICA для открытых гибких сертификатов OV и EV.
Поддержка DigiCert Services API для выбора цепочки сертификатов ICA
В DigiCert Services API мы внесли следующие обновления для поддержки выбора ICA в ваших интеграциях API:
- Конечная точка Созданный новый продукт Ограничения для продуктов
Используйте эту конечную точку для ознакомления с информацией об ограничения и параметрах настройки для продуктов, разрешенных для каждого подразделения в вашей учётная запись. Включает значения ID для заданных по умолчанию и разрешенных цепочек сертификатов ICA для каждого продукта. - Добавлена поддержка выбора ICA в запросах заказов на открытые гибкие сертификаты TLS OV и EV
После завершения настройки разрешенных промежуточных элементов для продукта можно выбрать цепочку сертификатов ICA, которая должна выпустить ваш сертификат, когда вы используете API для отправки запроса на заказ.
Укажите ID выпускающего сертификат ICA в качестве значения для параметраca_cert_idв теле своего запроса на заказ
Пример запроса на гибкий сертификат:
Для ознакомления с дополнительной информацией об использовании функции выбора ICA в своих интеграциях API см. раздел Жизненный цикл сертификата OV/EV — (Необязательный) Выбор ICA.