DigiCert 停止颁发 SHA-1 代码签名证书
星期二, 2020 年 12 月 1 日 MST,DigiCert 将停止颁发 SHA-1 代码签名证书和 SHA-1 EV 代码签名证书。
注意:所有现有的 SHA-1 代码签名/EV 代码签名证书在到期前将一直有效。
DigiCert 为什么进行这些更改?
为了遵循新的行业标准,证书颁发机构 (CA) 必须在 2021 年 1 月 1 日之前进行以下更改:
请参阅关于颁发和管理公共信任的代码签名证书的基准要求附录 A。
SHA-1 代码签名证书更改对我有什么影响?
如果您依赖于 SHA-1 代码签名证书,请在 2020 年 12 月 1 日之前根据需要执行以下操作:
有关 2020 年 12 月 1 日更改的更多信息,请参阅 我们的知识库文章 DigiCert 停止颁发 SHA-1 代码签名证书。
如果您有其他疑问,请联系客户经理或我们的 支持团队。
DigiCert 将停止颁发 2 年期公共 SSL/TLS 证书
2020 年 8 月 27 日下午 5:59 MDT (23:59 UTC),DigiCert 将停止颁发 2 年期公共 SSL/TLS 证书,以准备实行行业针对公共 SSL/TLS 证书允许的最长有效期实施的更改。
8 月 27 日截止后,您只能购买 1 年期公共 SSL/TLS 证书。
我需要做些什么?
为了确保您在 8 月 27 日截止前获得您需要的 2 年期公共 SSL/TLS 证书,请执行以下操作:
如需了解此更改对待处理的证书订单、补发证书和副本证书有什么影响,请参阅终止 2 年期 DV、OV 和 EV 公共 SSL/TLS 证书。
DigiCert 服务 API
如果使用 DigiCert 服务 API,您需更新 API 工作流,以便在您于 8 月 27 日截止后提交的请求中纳入证书有效期最长不超过 397 天的最新要求。请参阅服务 API。
2020 年 8 月 27 日之后
8 月 27 日后,您只能购买 1 年期公共 SSL/TLS 证书。但是,为了最大程度地延长 SSL/TLS 保障期限,请通过 DigiCert® 多年计划购买新证书。请参阅多年计划。
DigiCert 为什么进行此更改?
2020 年 9 月 1 日,行业标准弃用了 2 年期证书。证书颁发机构 (CA) 以后只能颁发最长有效期不超过 398 天(大约 13 个月)的公共 DV、OV 和 EV SSL/TLS 证书。
DigiCert 将对所有公共 SSL/TLS 证书实施最长有效期不超过 397 天的规定,以确保考虑时差,避免颁发的公共 SSL/TLS 证书超过最长有效期为 398 天的最新要求。
请浏览我们的博客,以了解关于过渡到 1 年期公共 SSL/TLS 证书的更多信息:1 年期公共信托 SSL 证书:DigiCert 帮助。
Microsoft 将停止支持第三方内核模式驱动程序包数字签名
签署内核模式驱动程序包的流程将更改。从 2021 年开始,Microsoft 将成为生产内核模式代码签名的唯一提供商。以后,您需开始依照 Microsoft 更新的说明签署任何新的内核模式驱动程序包。请参阅 Windows 硬件合作伙伴中心。
DigiCert 正如何应对?
作为该弃用流程的第一步,DigiCert 从代码签名证书表单中移除了 Microsoft 内核模式代码平台选项:新、补发和续订。
这意味着,您以后无法再为内核模式平台订购、补发或续订代码签名证书。
这对我现有的内核模式代码签名证书有什么影响?
您可以继续使用现有的证书签署内核模式驱动程序包,直至证书链中的交叉签名根到期。DigiCert 品牌的交叉签名根证书于 2021 年到期。
有关更多详情,请参阅我们的知识库文章,Microsoft 停止支持具有内核模式签名功能的交叉签名根证书。
浏览器终止支持 TLS 1.0 和 1.1
2020 年,四大浏览器将终止支持传输层安全性 (TLS) 1.0 和 1.1。
此更改不影响您的 DigiCert 证书。您的证书将仍然像以前一样工作。
须知事项
此更改影响依赖于 TLS 1.0 或 1.1 的浏览器依赖性服务和应用程序。一旦浏览器终止支持 TLS 1.0 或 1.1,这些过时的系统将无法建立 HTTPS 连接。
所需操作
如果您受此更改的影响,请计划立即启用或升级至 TLS 1.2 或 TLS 1.3。给自己一些准备时间,以应对任何问题。在您开始之前,请务必确认所有可能使用 TLS 1.0 或 1.1 的系统。
请务必检查 Apache 或 Microsoft IIS、.NET Framework 之类的 Web 服务器、服务器监控代理以及可能使用它的其他商务应用程序。
有用资源
由于有许多不同类型的系统依赖于 TLS,因此我们无法涵盖所有可用的升级路径,但下面提供了一些可能有用的参考资源:
Apple 关于私有 SSL 证书的新合规性要求
Apple 最近宣布对 SSL/TLS 证书实行一些新的安全性要求,这些要求将随着 iOS 13 和 macOS 10.15 的发布而生效。这些要求影响在 2019 年 7 月 1 日以后颁发的私有证书。
对于您的公共 DigiCert SSL/TLS 证书,无需执行任何操作。
DigiCert 公共 SSL/TLS 证书已经满足所有这些安全性要求。您的公共 SSL/TLS 证书不受这些新要求的影响,并且在 iOS 13 和 macOS 10.15 中受信任。
新增内容
Apple 即将对所有 SSL/TLS 证书实施更多安全性要求,在设计上影响私有 SSL/TLS 证书。请参阅在 iOS 13 和 macOS 10.15 中受信任的证书的要求。
帐户管理员根据公共证书要求颁发的 DigiCert 私有 SSL/TLS 证书满足这些要求。
我们在下方提供了可能影响您的私有 SSL/TLS 证书的要求列表。这些版本的 Apple OS 计划在今年秋季发布。这意味着您需要立即开始准备。
新的私有 SSL/TLS 证书要求:
您可以做什么?
如果您的私有 SSL/TLS 证书需要获得 Apple iOS 和 macOS 信任,则验证在 2019 年 7 月 1 日以后颁发的所有私有 SSL/TLS 证书是否符合他们的新要求。如果找到不符合这些要求的证书,则需尽快采取这些行动:
Firefox 不再支持密钥生成
随着 Firefox 69 的发行,Firefox 最终终止支持 Keygen。Firefox 使用 Keygen 帮助生成密钥材料,用于在浏览器中生成代码签名、客户端和 SMIME 证书时提交公钥。
注意:Chrome 已经终止支持密钥生成,而 Edge 和 Opera 从不支持密钥生成。
对您有什么影响?
DigiCert 颁发代码签名、客户端或 SMIME 证书后,我们向您发送一封电子邮件,其中包含用于创建和安装证书的链接。
发行 Firefox 69 后,您只能使用两种浏览器生成这些证书:Internet Explorer 和 Safari。如果公司政策要求使用 Firefox,您可以使用 Firefox ESR 或 Firefox 的可携带副本。
有关更多信息,请参阅 Firefox 69 将终止支持 Keygen。
提示和技巧
我们已将新状态已发送电子邮件给收件人,添加到代码签名和客户端证书订单的订单和订单详情页面,使其更容易识别这些订单在证书颁发流程中所处的阶段。
该新状态表示 DigiCert 已经验证订单,且证书正在等待用户/电子邮件收件人在以下其中一种支持的浏览器中生成它:IE 11、Safari、Firefox 68 和便携式 Firefox。
(在侧栏菜单中,单击证书 > 订单。然后,在“订单”页,单击代码签名证书或客户端证书订单的订单编号。)
我们更新了扩展验证 (EV) 代码签名 (CS) 和文档签名 (DS) 证书补发流程,使您无需自动吊销当前证书(原始证书或之前补发的证书)就能补发这些证书。
注意:如果您不需要当前证书(原始证书或之前补发的证书),则需联系支持人员,请求他们为您吊销。
从现在起,当您下次补发 EV CS 或 DS 证书时,您可以让之前补发的证书在当前有效期内(或您需要的期间内)一直保持有效。
行业标准合规性提醒
对于公共和私有证书,证书颁发机构 (CA) 不接受在证书订单或组织预验证请求中的地址的这些部分使用缩略词:
*适用于组织和管辖区地址。
我们简化了在提交域进行验证(预验证或通过证书订单进行验证)时为帐户定义域验证范围的流程。
在“分区首选项”页面上,我们添加了两个域验证范围选项:
要为帐户配置域验证范围,请在侧栏菜单中,单击设置 > 首选项。在“分区首选项”页面上,展开高级设置。在“域控制验证 (DCV)”部分的域验证范围下,将看到新设置。
我们修复了将 Wildcard SSL 证书补发和新证书订单上的 SAN 最大允许数量限制为 10 个的错误。
现在,在补发或订购新 Wildcard SSL 证书时,可以添加最多 250 个 SAN。
行业标准变更
从 2019 年 7 月 31 日 (19:30 UTC) 开始,您必须使用 HTTP 实用演示 DCV 方法演示对证书订单上的 IP 地址的控制权。
有关 HTTP 实用演示 DCV 方法的更多信息,请参阅这些说明:
行业标准过去允许使用其他 DCV 方法证明对 IP 地址的控制权。但是,随着投票 SC7 的通过,IP 地址验证法规已更改。
该投票重新定义了验证客户对证书中所列 IP 地址控制权的允许流程和程序。投票 SC7 合规性更改从 2019 年 7 月 31 日 (19:30 UTC) 开始生效。
为了保持合规,从 2019 年 7 月 31 日 (19:30 UTC) 开始,DigiCert 仅允许客户使用 HTTP 实用演示 DCV 方法验证 IP 地址。
移除对 IPv6 的支持
从 2019 年 7 月 31 日 (19:30 UTC) 开始,DigiCert 移除了对 IPv6 地址证书的支持。由于服务器限制,DigiCert 无法连接到 IPv6 地址以验证在客户的 HTTP 实用演示 DCV 方法网站上放置的文件。
我们更新了 CertCentral SAML 联盟设置,您可以让联盟名称不显示在 SAML 单一登录 IdP 选择和 SAML 证书请求 IdP 选择页面的 IdP 列表中。
现在,在联盟设置页面的 IDP 元数据下,我们添加了包括联盟名称选项。如果您不希望联盟名称显示在 IdP 选择页面的 IdP 列表中,取消选中将我的联盟名称添加到 IdP 列表。
Secure Site Pro TLS/SSL 在 CertCentral 中可用。通过 Secure Site Pro,您按域缴费,无基本证书费用。添加一个域,则收取一个域的费用。如果需要 9 个域,则收取 9 个域的费用。一张证书上最多可保护 250 个域。
我们提供两种类型的 Secure Site Pro 证书,一种是 OV 证书,另一种是 EV 证书。
每张 Secure Site Pro 证书所包含的优势
每张 Secure Site Pro 证书包括(免费)对未来在 CertCentral 中新增的高级功能(例如,CT 日志监视和验证管理)的最先访问权。
其他优势包括:
要对您的 CertCentral 帐户启用 Secure Site Pro 证书,请联系您的客户经理或我们的支持团队。
欲了解有关我们的 Secure Site Pro 证书的更多信息,请参阅 DigiCert Secure Site Pro。
公共 SSL 证书不再保护具有下划线的域名 ("_")。所有之前颁发的在域名中包含下划线的证书必须在此日期前失效。
注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。
有关更多信息,请参阅停用域名中的下划线。
关于在 ECC SSL/TLS 证书中包括 CanSignHttpExchanges 扩展名的行业标准要求:
*注意:这些要求从 2019 年 5 月 1 日开始生效。Signed HTTP Exchanges 扩展名目前正在积极开发中。随着行业的进一步发展,可能会对要求作出其他更改。
90 天证书最长有效期要求不影响在 2019 年 5 月 1 日之前颁发的证书。请注意,补发的证书将缩短为自补发日期起 90 天。但是,您可以继续补发证书以达到已购买的完整有效期。
CanSignHttpExchanges 扩展名
最近我们新增了证书配置文件 HTTP Signed Exchanges,以帮助解决 AMP URL 显示问题,即,在地址栏中不显示您的品牌。请参阅显示具有 Signed Exchange 的优化 AMP URL。
新的配置文件允许在 OV 和 EV SSL/TLS 证书中包括 CanSignHttpExchanges 扩展名。一旦为您的帐户启用后,在您的 OV 和 EV SSL/TLS 证书请求单的其他证书选项下将显示在证书中包括 CanSignHttpExchanges 扩展名选项。请参阅获取 Signed HTTP Exchange 证书。
要为您的帐户启用该证书配置文件,请联系您的客户经理或联系我们的支持团队。
CA 不再颁发在域名中含有下划线(公用名和使用者可选名称)的 30 天公共 SSL 证书。
注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。
有关更多信息,请参阅停用域名中的下划线。
您可以在最后一天从任何 CA 订购在域名中含有下划线(公用名和使用者可选名称)的 30 天公共 SSL 证书。
注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。
有关更多信息,请参阅停用域名中的下划线。
您无需执行任何操作。
从 2019 年 2 月 13 日开始,DigiCert 不再颁发具有曲线-哈希对 P-384 和 SHA-2 512 (SHA-512) 的 ECC TLS/SSL 证书(即,具有 ECDSA 密钥的证书)。该曲线-哈希对不符合 Mozilla 的根存储策略。
Mozilla 的根存储策略支持的曲线-哈希对仅包括:
注意:您是否拥有具有 P-384 和 SHA-512 曲线-哈希对的证书?不用担心!即将续订证书时,将自动使用支持曲线-哈希对颁发。
证书颁发机构 (CA) 吊销所有含有下划线(在公用名和使用者可选名称中)且最长有效期超过日结束后 30 天(UTC 时间)的公共 SSL 证书。
如果您有总有效期 31 天或更长时间(包括所有 1 年、2 年和 3 年证书)且在 2019 年 1 月 14 日后到期的 SSL 证书,颁发您的证书的证书颁发机构需吊销该证书。
有关更多信息,请参阅停用域名中的下划线。
DigiCert 开始颁发含有下划线且具有有限时间的公共 SSL 证书。
有关更多信息,请参阅停用域名中的下划线。
我们改进了侧栏菜单。,更容易看到您正在访问的页面的菜单选项。现在,当您访问 CertCentral 中的页面时,该页面的菜单选项旁边会有一个蓝色横栏。
我们修复了 SSL/TLS 证书请求表上的添加组织功能,以前,在证书订单中不包括新增的已验证组织的验证状态(EV 和 OV 验证)。
现在,在订购 SSL 证书时新增的组织将显示已验证状态。
注意:直到我们充分验证组织后才显示组织的验证状态。
行业标准合规性更改。对于公共可信证书,子域中不可再包含下划线 ( _ )。现在也对子域执行 RFC 5280。
行业标准更改并删除了基准要求 (BR) 中的两种域控制验证 (DCV) 方法。
从 2018 年 8 月 1 日开始,证书颁发机构无法再使用以下域控制验证 (DCV) 方法:
欲了解关于可用 DCV 方法的更多信息,请参阅域控制验证 (DCV) 方法。
DigiCert 符合 GDPR
《一般数据保护条例》(GDPR) 是一项对所有欧盟地区人士提供数据保护和隐私保护的欧盟法律。其主要目的是让欧盟公民居民和居民对其个人数据拥有更大的控制权,并且通过统一欧盟地区法规,简化国际业务的法规环境。GDPR 在 2018 年 5 月 25 日开始生效。更多详细信息 »
DigiCert 声明
DigiCert 努力理解并遵守 GDPR。当 GDPR 在 2018 年 5 月 25 日开始生效时,我们已经与 GDPR 的要求保持一致。请参阅遵循《一般数据保护条例》(GDPR)。
GDPR 对基于 WHOIS 的电子邮件域控制验证 (DCV) 的影响
欧盟《一般数据保护条例》(GDPR) 在 2018 年 5 月 25 日开始生效。GDPR 要求对居住在欧盟 (EU) 境内的自然人(非企业实体)提供数据保护。
DigiCert 与 ICANN 开展联合工作,使得 WHOIS 信息公开可用。ICANN 宣布将继续注册处和注册员将信息提交至 WHOIS,并针对 GDPR 作出了一些更改。请参阅关于 WHOIS、GDPR 和域验证的说明。
您是否依赖于基于 WHOIS 的电子邮件域控制验证?
请咨询您的域注册员,以确定他们是否使用匿名处理的电子邮件或 Web 表单作为 CA 为遵循 GDPR 而访问 WHOIS 数据的一种方式。
为了最大限度地提高验证流程的效率,请告知注册员您希望其为您的域继续使用您发布的完整记录还是使用匿名处理的电子邮件地址。使用这些选项将确保对我们的验证流程造成极小甚至不造成影响。
您的注册员是否使用匿名处理的电子邮件或 Web 表单作为 CA 访问 WHOIS 数据的一种方式。如果是,我们可以将 DCV 电子邮件发送至其 WHOIS 记录上列出的地址。
您的注册员是否屏蔽或删除电子邮件地址?如果是,您需使用另外一种方式证明对域的控制权:
有关构造的电子邮件地址及其他备用 DCV 方法的更多信息,请参阅域控制验证 (DCV) 方法。
行业标准允许证书颁发机构 (CA) 为仅具有 CAA 记录且不包含 "issue"/"issuewild" 属性标记的域颁发 SSL/TLS 证书。
当 CA 查询域的 CAA RR 并找到其中不含 "issue" 或 "issuewild" 属性标记的记录时,CA 可以将其解释为为该域颁发 SSL/TLS 证书的权限。请参阅投票 219:澄清关于不含 "issue"/"issuewild" 属性标记的 CAA 记录集的处理。
要了解有关 CAA RR 检查流程的更多信息,请参阅我们的 DNS CAA 资源记录检查页面。
鉴于整个行业弃用 TLS 1.0/1.1 并且为了维护我们的 PCI 合规性,DigiCert 从 2018 年 4 月 1 日开始停用 TLS 1.0/1.1。DigiCert 此后将支持 TLS 1.2 及更高版本。请参阅弃用 TLS 1.0 & 1.1。
DigiCert 实施改进的组织单位 (OU) 验证流程。
根据基准要求:
"CA 将实施流程防止 OU 来源属性包括名称、DBA、商业名称、商标、地址、位置或其他指涉特定自然人或法人的文本,CA 已根据第 11.2 节验证此信息的除外。"
注意:OU 字段为可选字段。不要求在证书请求中包括组织单位。
从 2018 年 3 月 1 日起,补发(或颁发副本)的公共 3 年 SSL/TLS 证书允许的最大期限为 825 天。
请注意,对于在 2017 年 3 月 1 日之后颁发的 3 年 OV 证书,在 3 年证书生命周期的第一年期间,所有补发和副本证书的生命周期可能短于"原始"证书的生命周期,并且这些补发的证书将最先过期。请参阅
这对我的 3 年补发证书和副本证书有什么影响?。
从 2018 年 2 月 21 日开始,DigiCert 将仅提供 1 年和 2 年公共 SSL/TLS 证书,因为更改后的行业标准限制公共 SSL 证书不超过 825 天(大约 27 个月)。请参阅 2018 年 2 月 20 日为新 3 年证书订单的最后一天。
这仅用于提供信息,无需执行任何操作。
从 2018 年 2 月 1 日开始,DigiCert 将所有新颁发的公共 SSL/TLS 证书发布到公共 CT 日志中。这不会影响在 2018 年 2 月 1 日之前颁发的任何 OV 证书。请注意,从 2015 年起,已经要求对 EV 证书进行 CT 日志记录。请参阅从 2 月 1 日起将 DigiCert 证书记录到公共日志。
在 CertCentral 中新增了"在订购证书时从 CT 日志中排除"功能。当您启用此功能(设置 > 首选项)时,您允许帐户用户基于每证书订单将公共 SSL/TLS 证书保留在公共 CT 日志之外。
订购 SSL 证书时,用户可选择不将 SSL/TLS 证书记录到公共 CT 日志中。当用户订购新证书、补发证书和续订证书时,该功能可用。请参阅 CertCentral 公共 SSL/TLS 证书 CT 日志指南。
在 SSL 证书请求 API 端点中新增了 CT 日志排除可选字段 (disable_ct)。此外,新增了 CT 日志颁发的证书排除端点 (ct-status)。请参阅 CertCentral API 公共 SSL/TLS 证书透明度排除指南。
CAA 资源记录检查的行业标准变更。修改了检查含有 8 条或更少 CNAME 记录的 CNAME 链的流程,并且搜索不包括 CNAME 记录的目标的父级。请参阅 DNS CAA 资源记录检查。
颁发证书的行业标准变更。修订了证书颁发流程以检查 DNS CAA 资源记录。请参阅 DNS CAA 资源记录检查。
行业标准合规性变更;增强了 RFC 5280 违规检查和执行。请参阅公共可信证书 - 违反行业标准的数据条目。
验证流程的行业标准变更。超过 825 天的验证信息(DCV 或组织)必须重新验证后,才能处理证书补发、续订或颁发。更多详细信息 »
行业标准合规性变更;增加了对附加域控制验证 (DCV) 方法的支持。请参阅域预验证:域控制验证 (DCV) 方法。
