筛选方式: compliance x 清除

Browser support ending for TLS 1.0 and 1.1

In 2020, the four major browsers are ending support for Transport Layer Security (TLS) 1.0 and 1.1.

This change doesn't affect your DigiCert certificates. Your certificates will continue to work as they always have.

What you need to know

This change affects browser-dependent services and applications relying on TLS 1.0 or 1.1. Once browser support for TLS 1.0 or 1.1 ends, these out-of-date systems will be unable to make HTTPS connections.

What you need to do

If you are affected by this change, plan to enable or upgrade to TLS 1.2 or TLS 1.3 now. Give yourself lead time to deal with any problems. Before you start, make sure to identify all systems that might use TLS 1.0 or 1.1.

Remember to check web servers like Apache or Microsoft IIS, .NET Framework, server monitoring agents, and other commerce applications that might use it.

Helpful resources

With so many different types of systems relying on TLS, we can't cover all available upgrade paths, but here are a few references that may help:


Apple 关于专用 SSL 证书的新合规性要求

Apple 最近宣布对 SSL/TLS 证书实行一些新的安全性要求,这些要求将随着 iOS 13 和 macOS 10.15 的发布而生效。这些要求影响在 2019 年 7 月 1 日以后颁发的公共和专用证书。

对于您的公共 DigiCert SSL/TLS 证书,无需执行任何操作。

DigiCert 公共 SSL/TLS 证书已经满足所有这些安全性要求。您的公共 SSL/TLS 证书不受这些新要求的影响,并且在 iOS 13 和 macOS 10.15 中受信任。


Apple 即将对所有 SSL/TLS 证书实施更多安全性要求,在设计上影响专用 SSL/TLS 证书。请参阅在 iOS 13 和 macOS 10.15 中受信任的证书的要求。帐户管理员根据公共证书要求颁发的 DigiCert 专用 SSL/TLS 证书满足这些要求。

我们在下方提供了可能影响您的专用 SSL/TLS 证书的要求列表。幸运的是,这些版本的 Apple OS 计划在今年秋季发布。这意味着您还有时间做准备。

  • 在签名算法中必须使用来自 SHA-2 系列的算法。SHA-1 签名的证书对于 SSL/TLS 不再受信任。
  • 有效期不得超过 825 天。有效期超过 825 天的 SSL/TLS 证书不再受信任。

如果您拥有不满足这些要求的专用证书,并且要求您的专用证书受 Apple iOS 和 macOS 信任,您需确保在 2019 年 7 月 1 日以后颁发的任何专用 SSL/TLS 证书是在 iOS 13 和 macOS 10.15 普遍适用之前初次颁发或补发的证书。请参阅补发 SSL/TLS 证书


Firefox ending key generation support

With the release of Firefox 69, Firefox will finally drop support for Keygen. Firefox uses Keygen to facilitate generating key material for submitting the public key when generating Code Signing, Client, and SMIME certificates in their browser.

Note: Chrome already dropped support for key generation, and Edge and Opera never supported it.

How does this affect you?

After DigiCert issues your Code Signing, Client, or SMIME certificates, we send you an email with a link to create and install your certificate.

Once Firefox 69 is released, you can only use two browsers to generate these certificates: Internet Explorer and Safari. If company policy requires the use of Firefox, you can use Firefox ESR or a portable copy of Firefox.

For more information, see Keygen support to be dropped with Firefox 69.

Tips and tricks

  • You can still use Firefox 69 for client authentication. First, generate the SMIME certificate in IE 11 or Safari. Then, import the SMIME certificate to Firefox.
  • To bypass generating Code Signing, Client, or SMIME certificates in your browser, generate and submit a CSR with your order. Instead of a link, DigiCert will send you an email with your certificate attached.

We added a new status, Emailed to Recipient, to the Orders and Order Details pages, for Code Signing and Client certificate orders, making it easier to identify where these orders are in the issuance process.

This new status indicates the DigiCert has validated the order, and the certificate is waiting for the user/email recipient to generate it in one of the supported browsers: IE 11, Safari, Firefox 68, and portable Firefox.

(In the sidebar menu, click Certificates > Orders. Then, on the Orders page, click the order number for the Code Signing or Client certificate order.)


We updated our Extended Validation (EV) Code Signing (CS) and Document Signing (DS) certificate reissue processes, enabling you to reissue these certificates without automatically revoking the current certificate (original or previously reissued certificate).

Note: If you don't need the current certificate (original or previously reissued certificate), you'll need to contact support so they can revoke it for you.

Now, the next time you reissue an EV CS or DS certificate, you can keep the previously issued certificate active to its current validity period (or for as long as you need it).


Industry standards compliance reminder

For public and private certificates, Certificate Authorities (CAs) don't accept abbreviations for these parts of an address in your certificate orders or organization pre-validation requests:

  • State or Province*
  • City or Locality*

*This applies to organization and jurisdiction addresses.


We made it easier to define the domain validation scope for your account when submitting your domains for validation (pre-validation or via certificate orders).

On the Division Preferences page, we added two domain validation scope options:

  • Submit exact domain names for validation
    With this option, requests for new domains are submitted for validation exactly as named (i.e., request for sub.example.com is submitted for validation exactly as sub.example.com). Validation for the “higher level” domain (e.g., example.com) also works. This is the default behavior for CertCentral.
  • Restrict validation to base domain only
    This option allows you to restrict domain validation to the base domain (e.g., example.com). For request that include new subdomains (e.g., sub.example.com), we only accept domain validation for the base domain (e.g., example.com). Validation for the subdomain (e.g., sub.example.com) won’t work.

To configure the domain validation scope for your account, in the sidebar menu, click Settings > Preferences. On the Division Preference page, expand Advanced Settings. In the Domain Control Validation (DCV) section, under Domain Validation Scope, you'll see the new settings.


We fixed a bug where we were limiting the maximum allowed number of SANS to 10 on Wildcard SSL certificate reissue and new certificate orders.

Now, when reissuing or ordering a new Wildcard SSL certificate, you can add up to 250 SANs.



从 2019 年 7 月 31 日 (19:30 UTC) 开始,您必须使用 HTTP 实用演示 DCV 方法演示对证书订单上的 IP 地址的控制权。

有关 HTTP 实用演示 DCV 方法的更多信息,请参阅这些说明:

行业标准过去允许使用其他 DCV 方法证明对 IP 地址的控制权。但是,随着投票 SC7 的通过,IP 地址验证法规已更改。

投票 SC7:更新 IP 地址验证方法

该投票重新定义了验证客户对证书中所列 IP 地址控制权的允许流程和程序。投票 SC7 合规性更改从 2019 年 7 月 31 日 (19:30 UTC) 开始生效。

为了保持合规,从 2019 年 7 月 31 日 (19:30 UTC) 开始,DigiCert 仅允许客户使用 HTTP 实用演示 DCV 方法验证 IP 地址。

移除对 IPv6 的支持

从 2019 年 7 月 31 日 (19:30 UTC) 开始,DigiCert 移除了对 IPv6 地址证书的支持。由于服务器限制,DigiCert 无法连接到 IPv6 地址以验证在客户的 HTTP 实用演示 DCV 方法网站上放置的文件。


我们更新了 CertCentral SAML 联盟设置,您可以让联盟名称不显示在 SAML 单一登录 IdP 选择 SAML 证书请求 IdP 选择页面的 IdP 列表中。

现在,在联盟设置页面的 IDP 元数据下,我们添加了包括联盟名称选项。如果您不希望联盟名称显示在 IdP 选择页面的 IdP 列表中,取消选中将我的联盟名称添加到 IdP 列表


Secure Site Pro TLS/SSL 在 CertCentral 中可用。通过 Secure Site Pro,您按域缴费,无基本证书费用。添加一个域,则收取一个域的费用。如果需要 9 个域,则收取 9 个域的费用。一张证书上最多可保护 250 个域。

我们提供两种类型的 Secure Site Pro 证书,一种是 OV 证书,另一种是 EV 证书。

  • Secure Site Pro SSL
    获取适合您需要的 OV 证书。为一个域、一个通配符域及其所有子域提供加密和授权,或者使用使用者可选名称 (SAN) 保护一个证书上的多个域和通配符域。
  • Secure Site Pro EV SSL
    获取适合您需要的扩展验证证书。提供加密和授权以保护一个域或使用使用者可选名称 (SAN) 保护一个证书上的多个站点(完全限定的域名)。

每张 Secure Site Pro 证书所包含的优势

每张 Secure Site Pro 证书包括(免费)对未来在 CertCentral 中新增的高级功能(例如,CT 日志监视和验证管理)的最先访问权。


  • 优先验证
  • 优先支持
  • 两个高级网站标章
  • 恶意软件检查
  • 行业一流保证

要对您的 CertCentral 帐户启用 Secure Site Pro 证书,请联系您的客户经理或我们的支持团队

欲了解有关我们的 Secure Site Pro 证书的更多信息,请参阅 DigiCert Secure Site Pro


公共 SSL 证书不再保护具有下划线的域名 ("_")。所有之前颁发的在域名中包含下划线的证书必须在此日期前失效。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用专用证书,而且在有些情况下,可以使用通配符证书保护整个域。



关于在 ECC SSL/TLS 证书中包括 CanSignHttpExchanges 扩展名的行业标准要求:

  • 包括 "cansignhttpexchanges=yes" 参数的域的 CAA 资源记录*
  • 椭圆曲线密码体制 (ECC) 密钥对
  • CanSignHttpExchanges 扩展名
  • 最长 90 天有效期*
  • 仅用于 Signed HTTP Exchange

*注意:这些要求从 2019 年 5 月 1 日开始生效。Signed HTTP Exchanges 扩展名目前正在积极开发中。随着行业的进一步发展,可能会对要求作出其他更改。

90 天证书最长有效期要求不影响在 2019 年 5 月 1 日之前颁发的证书。请注意,补发的证书将缩短为自补发日期起 90 天。但是,您可以继续补发证书以达到已购买的完整有效期。

CanSignHttpExchanges 扩展名

最近我们新增了证书配置文件 HTTP Signed Exchanges,以帮助解决 AMP URL 显示问题,即,在地址栏中不显示您的品牌。请参阅显示具有 Signed Exchange 的优化 AMP URL

新的配置文件允许在 OV 和 EV SSL/TLS 证书中包括 CanSignHttpExchanges 扩展名。一旦为您的帐户启用后,在您的 OV 和 EV SSL/TLS 证书请求单的其他证书选项下将显示在证书中包括 CanSignHttpExchanges 扩展名选项。请参阅获取 Signed HTTP Exchange 证书



CA 不再颁发在域名中含有下划线(公用名和使用者可选名称)的 30 天公共 SSL 证书。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用专用证书,而且在有些情况下,可以使用通配符证书保护整个域。



您可以在最后一天从任何 CA 订购在域名中含有下划线(公用名和使用者可选名称)的 30 天公共 SSL 证书。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用专用证书,而且在有些情况下,可以使用通配符证书保护整个域。




从 2019 年 2 月 13 日开始,DigiCert 不再颁发具有曲线-哈希对 P-384 和 SHA-2 512 (SHA-512) 的 ECC TLS/SSL 证书(即,具有 ECDSA 密钥的证书)。该曲线-哈希对不符合 Mozilla 的根存储策略。

Mozilla 的根存储策略支持的曲线-哈希对仅包括:

  • P‐256 和 SHA-256
  • P‐384 和 SHA-384

注意:您是否拥有具有 P-384 和 SHA-512 曲线-哈希对的证书?不用担心!即将续订证书时,将自动使用支持曲线-哈希对颁发。


证书颁发机构 (CA) 吊销所有含有下划线(在公用名和使用者可选名称中)且最长有效期超过日结束后 30 天(UTC 时间)的公共 SSL 证书。

如果您有总有效期 31 天或更长时间(包括所有 1 年、2 年和 3 年证书)且在 2019 年 1 月 14 日后到期的 SSL 证书,颁发您的证书的证书颁发机构需吊销该证书。



DigiCert 开始颁发含有下划线且具有有限时间的公共 SSL 证书。

  • 域名中含有下划线且最长 30 天有效期的公共 SSL 证书。
  • 基域中不得含有下划线(允许使用 "example_domain.com")。
  • 最左侧域标签不得含有下划线(允许使用 "_example.domain.com" 和 "example_domain.example.com")。



在顶部菜单中,我们新增了两个联系支持选项(电话和聊天图标),更方便联系 CertCentral 内的支持人员(通过电子邮件、聊天或电话)。



我们改进了侧栏菜单。,更容易看到您正在访问的页面的菜单选项。现在,当您访问 CertCentral 中的页面时,该页面的菜单选项旁边会有一个蓝色横栏。


我们修复了 SSL/TLS 证书请求表上的添加组织功能,以前,在证书订单中不包括新增的已验证组织的验证状态(EV 和 OV 验证)。

现在,在订购 SSL 证书时新增的组织将显示已验证状态。



行业标准合规性更改。对于公众信任的证书,子域中不可再包含下划线 ( _ )。现在也对子域执行 RFC 5280。

请参阅公众信任的证书 - 违反行业标准的数据条目

八月 1, 2018


行业标准更改并删除了基准要求 (BR) 中的两种域控制验证 (DCV) 方法。

从 2018 年 8 月 1 日开始,证书颁发机构无法再使用以下域控制验证 (DCV) 方法:

  • 验证申请者为域联系人
    CA 可通过该方法和域名注册员直接确认证书申请者是域联系人,从而验证申请者对 SSL/TLS 证书订单上的域的控制权。
  • 域授权文档
    CA 可通过该方法确认申请者订购域授权文档中包含的所述域的授权,从而验证申请者对 SSL/TLS 证书订单上的域的控制权。
    请参阅投票 218:删除验证方法 1 和 5

欲了解关于可用 DCV 方法的更多信息,请参阅域控制验证 (DCV) 方法

五月 25, 2018


DigiCert 符合 GDPR

《一般数据保护条例》(GDPR) 是一项对所有欧盟地区人士提供数据保护和隐私保护的欧盟法律。其主要目的是让欧盟公民居民和居民对其个人数据拥有更大的控制权,并且通过统一欧盟地区法规,简化国际业务的法规环境。GDPR 在 2018 年 5 月 25 日开始生效。更多详细信息 »

DigiCert 声明

DigiCert 努力理解并遵守 GDPR。当 GDPR 在 2018 年 5 月 25 日开始生效时,我们已经与 GDPR 的要求保持一致。请参阅遵循《一般数据保护条例》(GDPR)


GDPR 对基于 WHOIS 的电子邮件域控制验证 (DCV) 的影响

欧盟《一般数据保护条例》(GDPR) 在 2018 年 5 月 25 日开始生效。GDPR 要求对居住在欧盟 (EU) 境内的自然人(非企业实体)提供数据保护。

DigiCert 与 ICANN 开展联合工作,使得 WHOIS 信息公开可用。ICANN 宣布将继续注册处和注册员将信息提交至 WHOIS,并针对 GDPR 作出了一些更改。请参阅关于 WHOIS、GDPR 和域验证的说明

您是否依赖于基于 WHOIS 的电子邮件域控制验证?

请咨询您的域注册员,以确定他们是否使用匿名处理的电子邮件或 Web 表单作为 CA 为遵循 GDPR 而访问 WHOIS 数据的一种方式。


您的注册员是否使用匿名处理的电子邮件或 Web 表单作为 CA 访问 WHOIS 数据的一种方式。如果是,我们可以将 DCV 电子邮件发送至其 WHOIS 记录上列出的地址。


  • 构造的电子邮件
  • HTTP 实用演示

有关构造的电子邮件地址及其他备用 DCV 方法的更多信息,请参阅域控制验证 (DCV) 方法

五月 10, 2018


行业标准允许证书颁发机构 (CA) 为仅具有 CAA 记录且不包含 "issue"/"issuewild" 属性标记的域颁发 SSL/TLS 证书。

当 CA 查询域的 CAA RR 并找到其中不含 "issue" 或 "issuewild" 属性标记的记录时,CA 可以将其解释为为该域颁发 SSL/TLS 证书的权限。请参阅投票 219:澄清关于不含 "issue"/"issuewild" 属性标记的 CAA 记录集的处理

要了解有关 CAA RR 检查流程的更多信息,请参阅我们的 DNS CAA 资源记录检查页面。

四月 1, 2018


鉴于整个行业弃用 TLS 1.0/1.1 并且为了维护我们的 PCI 合规性,DigiCert 从 2018 年 4 月 1 日开始停用 TLS 1.0/1.1。DigiCert 此后将支持 TLS 1.2 及更高版本。请参阅弃用 TLS 1.0 & 1.1

三月 2, 2018


DigiCert 实施改进的组织单位 (OU) 验证流程。


"CA 将实施流程防止 OU 来源属性包括名称、DBA、商业名称、商标、地址、位置或其他指涉特定自然人或法人的文本,CA 已根据第 11.2 节验证此信息的除外。"

注意:OU 字段为可选字段。不要求在证书请求中包括组织单位。

三月 1, 2018


从 2018 年 3 月 1 日起,补发(或颁发副本)的公共 3 年 SSL/TLS 证书允许的最大期限为 825 天。

请注意,对于在 2017 年 3 月 1 日之后颁发的 3 年 OV 证书,在 3 年证书生命周期的第一年期间,所有补发和副本证书的生命周期可能短于"原始"证书的生命周期,并且这些补发的证书将最先过期。请参阅
这对我的 3 年补发证书和副本证书有什么影响?

二月 21, 2018


从 2018 年 2 月 21 日开始,DigiCert 将仅提供 1 年和 2 年公共 SSL/TLS 证书,因为更改后的行业标准限制公共 SSL 证书不超过 825 天(大约 27 个月)。请参阅 2018 年 2 月 20 日为新 3 年证书订单的最后一天



从 2018 年 2 月 1 日开始,DigiCert 将所有新颁发的公共 SSL/TLS 证书发布到公共 CT 日志中。这不会影响在 2018 年 2 月 1 日之前颁发的任何 OV 证书。请注意,从 2015 年起,已经要求对 EV 证书进行 CT 日志记录。请参阅从 2 月 1 日起将 DigiCert 证书记录到公共日志


在 CertCentral 中新增了"在订购证书时从 CT 日志中排除"功能。当您启用此功能(设置 > 首选项)时,您允许帐户用户基于每证书订单将公共 SSL/TLS 证书保留在公共 CT 日志之外。

订购 SSL 证书时,用户可选择不将 SSL/TLS 证书记录到公共 CT 日志中。当用户订购新证书、补发证书和续订证书时,该功能可用。请参阅 CertCentral 公共 SSL/TLS 证书 CT 日志指南


在 SSL 证书请求 API 端点中新增了 CT 日志排除可选字段 (disable_ct)。此外,新增了 CT 日志颁发的证书排除端点 (ct-status)。请参阅 CertCentral API 公共 SSL/TLS 证书透明度排除指南

十月 24, 2017


CAA 资源记录检查的行业标准变更。修改了检查含有 8 条或更少 CNAME 记录的 CNAME 链的流程,并且搜索不包括 CNAME 记录的目标的父级。请参阅 DNS CAA 资源记录检查

九月 8, 2017


颁发证书的行业标准变更。修订了证书颁发流程以检查 DNS CAA 资源记录。请参阅 DNS CAA 资源记录检查

七月 28, 2017


行业标准合规性变更;增强了 RFC 5280 违规检查和执行。请参阅公众信任的证书 - 违反行业标准的数据条目

七月 21, 2017


验证流程的行业标准变更。超过 825 天的验证信息(DCV 或组织)必须重新验证后,才能处理证书补发、续订或颁发。更多详细信息 »

七月 10, 2017


行业标准合规性变更;增加了对附加域控制验证 (DCV) 方法的支持。请参阅域预验证:域控制验证 (DCV) 方法