DigiCert to stop issuing SHA-1 code signing certificates
On Tuesday, December 1, 2020 MST, DigiCert will stop issuing SHA-1 code signing and SHA-1 EV code signing certificates.
Note: All existing SHA-1 code signing/EV code signing certificates will remain active until they expire.
Why is DigiCert making these changes?
To comply with the new industry standards, certificate authorities (CAs) must make the following changes by January 1, 2021:
See Appendix A in the Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates.
How do the SHA-1 code signing certificate changes affect me?
If you rely on SHA-1 code signing certificates, take these actions as needed before December 1, 2020:
For more information about the December 1, 2020 changes, see our knowledgebase article DigiCert to Stop Issuing SHA-1 Code Signing Certificates.
If you have additional questions, please contact your account manager or our support team.
Microsoft 将停止支持第三方内核模式驱动程序包数字签名
签署内核模式驱动程序包的流程将更改。从 2021 年开始,Microsoft 将成为生产内核模式代码签名的唯一提供商。以后,您需开始依照 Microsoft 更新的说明签署任何新的内核模式驱动程序包。请参阅 Windows 硬件合作伙伴中心。
DigiCert 正如何应对?
作为该弃用流程的第一步,DigiCert 从代码签名证书表单中移除了 Microsoft 内核模式代码平台选项:新、补发和续订。
这意味着,您以后无法再为内核模式平台订购、补发或续订代码签名证书。
这对我现有的内核模式代码签名证书有什么影响?
您可以继续使用现有的证书签署内核模式驱动程序包,直至证书链中的交叉签名根到期。DigiCert 品牌的交叉签名根证书于 2021 年到期。
有关更多详情,请参阅我们的知识库文章,Microsoft 停止支持具有内核模式签名功能的交叉签名根证书。
CertCentral:域验证范围设置仅适用于 TLS 订单
在“分区首选项”页面的域控制验证 (DCV) 下,我们更新了域验证范围设置:提交要验证的准确域和提交要验证的基域。通过这些更新的设置,您在通过 TLS 证书订购流程提交新域时可以定义默认的域验证行为:EV、OV 和 DV。这些设置不再适用于域预验证流程。*
*这些更改对域预验证流程有什么影响?
在提交域进行预验证时,可以在任何级别(基域或任何更低级别的子域:example.com、sub1.example.com、sub2.sub1.example.com,等等)验证域。请参阅域预验证。
适用于浏览器生成的代码签名证书订单的"重新发送创建证书电子邮件"选项
在支持的浏览器中生成证书的订单的代码签名证书流程中,新增了重新发送创建证书电子邮件选项:IE 11、Safari、Firefox 68 和便携式 Firefox。
现在,当代码签名证书订单的状态为已发送电子邮件给收件人时,,可以重新发送证书生成电子邮件。
有关更多信息,请参阅重新发送"创建 DigiCert 代码签名证书"电子邮件。
Firefox 不再支持密钥生成
随着 Firefox 69 的发行,Firefox 最终终止支持 Keygen。Firefox 使用 Keygen 帮助生成密钥材料,用于在浏览器中生成代码签名、客户端和 SMIME 证书时提交公钥。
注意:Chrome 已经终止支持密钥生成,而 Edge 和 Opera 从不支持密钥生成。
对您有什么影响?
DigiCert 颁发代码签名、客户端或 SMIME 证书后,我们向您发送一封电子邮件,其中包含用于创建和安装证书的链接。
发行 Firefox 69 后,您只能使用两种浏览器生成这些证书:Internet Explorer 和 Safari。如果公司政策要求使用 Firefox,您可以使用 Firefox ESR 或 Firefox 的可携带副本。
有关更多信息,请参阅 Firefox 69 将终止支持 Keygen。
提示和技巧
我们已将新状态已发送电子邮件给收件人,添加到代码签名和客户端证书订单的订单和订单详细信息页面,使其更容易识别这些订单在证书颁发流程中所处的阶段。
该新状态表示 DigiCert 已经验证订单,且证书正在等待用户/电子邮件收件人在以下其中一种支持的浏览器中生成它:IE 11、Safari、Firefox 68 和便携式 Firefox。
(在侧栏菜单中,单击证书 > 订单。然后,在“订单”页,单击代码签名证书或客户端证书订单的订单编号。)
我们更新了扩展验证 (EV) 代码签名 (CS) 和文档签名 (DS) 证书补发流程,使您无需自动吊销当前证书(原始证书或之前补发的证书)就能补发这些证书。
注意:如果您不需要当前证书(原始证书或之前补发的证书),则需联系支持人员,请求他们为您吊销。
从现在起,当您下次补发 EV CS 或 DS 证书时,您可以让之前补发的证书在当前有效期内(或您需要的期间内)一直保持有效。
DigiCert 将继续为代码签名证书支持 SHA1 签名。我们将在 2019 年 12 月 30 日移除最长有效期限制。