筛选方式: compliance x 清除
compliance

DigiCert 停止颁发 SHA-1 代码签名证书

星期二, 2020 年 12 月 1 日 MST,DigiCert 将停止颁发 SHA-1 代码签名证书和 SHA-1 EV 代码签名证书。

注意:所有现有的 SHA-1 代码签名/EV 代码签名证书在到期前将一直有效。

DigiCert 为什么进行这些更改?

为了遵循新的行业标准,证书颁发机构 (CA) 必须在 2021 年 1 月 1 日之前进行以下更改:

  • 停止颁发 SHA-1 代码签名证书
  • 停止使用 SHA-1 中间证书 CA 和 SHA-1 根证书颁发 SHA-256 算法代码签名和时间戳证书

请参阅关于颁发和管理公共信任的代码签名证书的基准要求附录 A

SHA-1 代码签名证书更改对我有什么影响?

如果您依赖于 SHA-1 代码签名证书,请在 2020 年 12 月 1 日之前根据需要执行以下操作:

  • 获取新的 SHA-1 证书
  • 续订 SHA-1 证书
  • 补发和获取必需的 SHA-1 证书

有关 2020 年 12 月 1 日更改的更多信息,请参阅 我们的知识库文章 DigiCert 停止颁发 SHA-1 代码签名证书

如果您有其他疑问,请联系客户经理或我们的 支持团队

compliance

DigiCert 将停止颁发 2 年期公共 SSL/TLS 证书

2020 年 8 月 27 日下午 5:59 MDT (23:59 UTC),DigiCert 将停止颁发 2 年期公共 SSL/TLS 证书,以准备实行行业针对公共 SSL/TLS 证书允许的最长有效期实施的更改。

8 月 27 日截止后,您只能购买 1 年期公共 SSL/TLS 证书。

我需要做些什么?

为了确保您在 8 月 27 日截止前获得您需要的 2 年期公共 SSL/TLS 证书,请执行以下操作:

  • 清点您需要的 2 年期证书,包括新证书和续订证书。
  • 在 8 月 13 日之前订购您需要的所有 2 年期证书。
  • 及时回应任何域和组织验证请求。

如需了解此更改对待处理的证书订单、补发证书和副本证书有什么影响,请参阅终止 2 年期 DV、OV 和 EV 公共 SSL/TLS 证书

DigiCert 服务 API

如果使用 DigiCert 服务 API,您需更新 API 工作流,以便在您于 8 月 27 日截止后提交的请求中纳入证书有效期最长不超过 397 天的最新要求。请参阅服务 API

2020 年 8 月 27 日之后

8 月 27 日后,您只能购买 1 年期公共 SSL/TLS 证书。但是,为了最大程度地延长 SSL/TLS 保障期限,请通过 DigiCert® 多年计划购买新证书。请参阅多年计划

DigiCert 为什么进行此更改?

2020 年 9 月 1 日,行业标准弃用了 2 年期证书。证书颁发机构 (CA) 以后只能颁发最长有效期不超过 398 天(大约 13 个月)的公共 DV、OV 和 EV SSL/TLS 证书。

DigiCert 将对所有公共 SSL/TLS 证书实施最长有效期不超过 397 天的规定,以确保考虑时差,避免颁发的公共 SSL/TLS 证书超过最长有效期为 398 天的最新要求。

请浏览我们的博客,以了解关于过渡到 1 年期公共 SSL/TLS 证书的更多信息:1 年期公共信托 SSL 证书:DigiCert 帮助

new

现在已推出多年计划

我们很高兴宣布,CertCentral 和 CertCentral 合作伙伴现已推出多年计划。

购买 DigiCert® 多年计划,您只需支付一次优惠价就能享用长达六年的 SSL/TLS 证书保障。在多年计划中,您选择 SSL/TLS 证书、证书的保障期限(最多六年)以及证书有效期。在计划到期前,每次在有效期满时,都可以免费补发证书。

从 2020 年 9 月 1 日开始,SSL/TLS 证书的最长有效期将从 825 天缩短为 397 天。当有效的多年计划证书即将到期时,可以补发证书以维持 SSL/TLS 保障。

compliance

浏览器支持终止 TLS 1.0 和 1.1

四大浏览器将终止支持传输层安全性 (TLS) 1.0 和 1.1。

须知事项

此更改不影响您的 DigiCert 证书。您的证书将仍然像以前一样工作。

此更改影响依赖于 TLS 1.0 或 1.1 的浏览器依赖性服务和应用程序。一旦浏览器终止支持 TLS 1.0 或 1.1,这些过时的系统将无法建立 HTTPS 连接。

所需操作

如果您受此更改的影响,且您的系统支持更新版本的 TLS 协议,请尽快将服务器配置升级到 TLS 1.2 或 TLS 1.3。

如果不升级到 TLS 1.2 或 1.3,您的网络服务器、系统或代理将无法使用 HTTPS 与证书建立安全通信。

浏览器 TLS 1.0/1.1 弃用信息

Firefox 78,2020 年 6 月 30 日发布

Safari 13.1,2020 年 3 月 24 日发布

Chrome 84,2020 年 7 月 21 日发布

Edge v84,2020 年 7 月 16 日发布

有用资源

由于有许多特殊的系统依赖于 TLS,因此我们无法涵盖所有升级路径,但下面提供了一些可能有用的参考资源:

enhancement

CertCentral 服务 API:更新了错误消息文档

在服务 API 文档中,我们更新了错误 页面,其中包含下面相关的错误描述:

  • 立即颁发 DV 证书
  • 域控制验证 (DCV)
  • 证书颁发机构 (CAA) 资源记录检查

今年早些时候,我们改进了面向 DV 证书订单和 DCV 请求的 API,当 DCV、文件授权、DNS 查找或 CAA 资源记录检查失败时提供更加详细的错误消息。现在,当您收到其中一条错误消息时,请检查错误页面以获取更多疑难解答信息。

有关更多信息

compliance

Microsoft 将停止支持第三方内核模式驱动程序包数字签名

签署内核模式驱动程序包的流程将更改。从 2021 年开始,Microsoft 将成为生产内核模式代码签名的唯一提供商。以后,您需开始依照 Microsoft 更新的说明签署任何新的内核模式驱动程序包。请参阅 Windows 硬件合作伙伴中心

DigiCert 正如何应对?

作为该弃用流程的第一步,DigiCert 从代码签名证书表单中移除了 Microsoft 内核模式代码平台选项:新、补发和续订。

这意味着,您以后无法再为内核模式平台订购、补发或续订代码签名证书。

这对我现有的内核模式代码签名证书有什么影响?

您可以继续使用现有的证书签署内核模式驱动程序包,直至证书链中的交叉签名根到期。DigiCert 品牌的交叉签名根证书于 2021 年到期。

有关更多详情,请参阅我们的知识库文章,Microsoft 停止支持具有内核模式签名功能的交叉签名根证书

compliance

浏览器终止支持 TLS 1.0 和 1.1

2020 年,四大浏览器将终止支持传输层安全性 (TLS) 1.0 和 1.1。

此更改不影响您的 DigiCert 证书。您的证书将仍然像以前一样工作。

须知事项

此更改影响依赖于 TLS 1.0 或 1.1 的浏览器依赖性服务和应用程序。一旦浏览器终止支持 TLS 1.0 或 1.1,这些过时的系统将无法建立 HTTPS 连接。

所需操作

如果您受此更改的影响,请计划立即启用或升级至 TLS 1.2 或 TLS 1.3。给自己一些准备时间,以应对任何问题。在您开始之前,请务必确认所有可能使用 TLS 1.0 或 1.1 的系统。

请务必检查 Apache 或 Microsoft IIS、.NET Framework 之类的 Web 服务器、服务器监控代理以及可能使用它的其他商务应用程序。

有用资源

由于有许多不同类型的系统依赖于 TLS,因此我们无法涵盖所有可用的升级路径,但下面提供了一些可能有用的参考资源:

compliance

Apple 关于私有 SSL 证书的新合规性要求

Apple 最近宣布对 SSL/TLS 证书实行一些新的安全性要求,这些要求将随着 iOS 13 和 macOS 10.15 的发布而生效。这些要求影响在 2019 年 7 月 1 日以后颁发的私有证书。

对于您的公共 DigiCert SSL/TLS 证书,无需执行任何操作。

DigiCert 公共 SSL/TLS 证书已经满足所有这些安全性要求。您的公共 SSL/TLS 证书不受这些新要求的影响,并且在 iOS 13 和 macOS 10.15 中受信任。

新增内容

Apple 即将对所有 SSL/TLS 证书实施更多安全性要求,在设计上影响私有 SSL/TLS 证书。请参阅在 iOS 13 和 macOS 10.15 中受信任的证书的要求

帐户管理员根据公共证书要求颁发的 DigiCert 私有 SSL/TLS 证书满足这些要求。

我们在下方提供了可能影响您的私有 SSL/TLS 证书的要求列表。这些版本的 Apple OS 计划在今年秋季发布。这意味着您需要立即开始准备。

新的私有 SSL/TLS 证书要求:

  • 在签名算法中必须使用来自 SHA-2 系列的算法。SHA-1 签名的 SSL/TLS 证书不再受信任。
  • 有效期不得超过 825 天。有效期超过 825 天的 SSL/TLS 证书不再受信任。

您可以做什么?

如果您的私有 SSL/TLS 证书需要获得 Apple iOS 和 macOS 信任,则验证在 2019 年 7 月 1 日以后颁发的所有私有 SSL/TLS 证书是否符合他们的新要求。如果找到不符合这些要求的证书,则需尽快采取这些行动:

compliance

Firefox 不再支持密钥生成

随着 Firefox 69 的发行,Firefox 最终终止支持 Keygen。Firefox 使用 Keygen 帮助生成密钥材料,用于在浏览器中生成代码签名、客户端和 SMIME 证书时提交公钥。

注意:Chrome 已经终止支持密钥生成,而 Edge 和 Opera 从不支持密钥生成。

对您有什么影响?

DigiCert 颁发代码签名、客户端或 SMIME 证书后,我们向您发送一封电子邮件,其中包含用于创建和安装证书的链接。

发行 Firefox 69 后,您只能使用两种浏览器生成这些证书:Internet Explorer 和 Safari。如果公司政策要求使用 Firefox,您可以使用 Firefox ESR 或 Firefox 的可携带副本。

有关更多信息,请参阅 Firefox 69 将终止支持 Keygen

提示和技巧

  • 您仍然可以使用 Firefox 69 进行客户端身份验证。首先,在 IE 11 或 Safari 中生成 SMIME 证书。然后,将 SMIME 证书导入到 Safari。
  • 为了绕过在浏览器中生成代码签名、客户端或 SMIME 证书,请通过订单生成和提交 CSR。DigiCert 不会提供链接,而是在电子邮件中以附件的形式添加证书。
new

我们已将新状态已发送电子邮件给收件人,添加到代码签名和客户端证书订单的订单订单详情页面,使其更容易识别这些订单在证书颁发流程中所处的阶段。

该新状态表示 DigiCert 已经验证订单,且证书正在等待用户/电子邮件收件人在以下其中一种支持的浏览器中生成它:IE 11、Safari、Firefox 68 和便携式 Firefox

(在侧栏菜单中,单击证书 > 订单。然后,在“订单”页,单击代码签名证书或客户端证书订单的订单编号。)

enhancement

我们更新了扩展验证 (EV) 代码签名 (CS)文档签名 (DS) 证书补发流程,使您无需自动吊销当前证书(原始证书或之前补发的证书)就能补发这些证书。

注意:如果您不需要当前证书(原始证书或之前补发的证书),则需联系支持人员,请求他们为您吊销。

从现在起,当您下次补发 EV CS 或 DS 证书时,您可以让之前补发的证书在当前有效期内(或您需要的期间内)一直保持有效。

compliance

行业标准合规性提醒

对于公共和私有证书,证书颁发机构 (CA) 不接受在证书订单或组织预验证请求中的地址的这些部分使用缩略词:

  • 州或省*
  • 城市或区*

*适用于组织和管辖区地址。

new

我们简化了在提交域进行验证(预验证或通过证书订单进行验证)时为帐户定义域验证范围的流程。

在“分区首选项”页面上,我们添加了两个域验证范围选项:

  • 提交要验证的准确域名
    为新域提交请求以按照准确的域名进行验证(例如,为 sub.example.com 提交请求以按照准确的域名 sub.example.com 进行验证)。也进行“更高级”域(例如,example.com)验证。这是 CertCentral 的默认行为。
  • 将验证范围限制为仅基域
    该选项允许您将域验证范围限制为基域(例如,example.com)。对于包含新子域(例如,sub.example.com)的请求,我们仅接受基域(例如,example.com)的域验证。不对子域(例如,sub.example.com)进行验证。

要为帐户配置域验证范围,请在侧栏菜单中,单击设置 > 首选项。在“分区首选项”页面上,展开高级设置。在“域控制验证 (DCV)”部分的域验证范围下,将看到新设置。

fix

我们修复了将 Wildcard SSL 证书补发和新证书订单上的 SAN 最大允许数量限制为 10 个的错误。

现在,在补发或订购新 Wildcard SSL 证书时,可以添加最多 250 个 SAN。

compliance

行业标准变更

从 2019 年 7 月 31 日 (19:30 UTC) 开始,您必须使用 HTTP 实用演示 DCV 方法演示对证书订单上的 IP 地址的控制权。

有关 HTTP 实用演示 DCV 方法的更多信息,请参阅这些说明:

行业标准过去允许使用其他 DCV 方法证明对 IP 地址的控制权。但是,随着投票 SC7 的通过,IP 地址验证法规已更改。

投票 SC7:更新 IP 地址验证方法

该投票重新定义了验证客户对证书中所列 IP 地址控制权的允许流程和程序。投票 SC7 合规性更改从 2019 年 7 月 31 日 (19:30 UTC) 开始生效。

为了保持合规,从 2019 年 7 月 31 日 (19:30 UTC) 开始,DigiCert 仅允许客户使用 HTTP 实用演示 DCV 方法验证 IP 地址。

移除对 IPv6 的支持

从 2019 年 7 月 31 日 (19:30 UTC) 开始,DigiCert 移除了对 IPv6 地址证书的支持。由于服务器限制,DigiCert 无法连接到 IPv6 地址以验证在客户的 HTTP 实用演示 DCV 方法网站上放置的文件。

enhancement

我们更新了 CertCentral SAML 联盟设置,您可以让联盟名称不显示在 SAML 单一登录 IdP 选择 SAML 证书请求 IdP 选择页面的 IdP 列表中。

现在,在联盟设置页面的 IDP 元数据下,我们添加了包括联盟名称选项。如果您不希望联盟名称显示在 IdP 选择页面的 IdP 列表中,取消选中将我的联盟名称添加到 IdP 列表

new

Secure Site Pro TLS/SSL 在 CertCentral 中可用。通过 Secure Site Pro,您按域缴费,无基本证书费用。添加一个域,则收取一个域的费用。如果需要 9 个域,则收取 9 个域的费用。一张证书上最多可保护 250 个域。

我们提供两种类型的 Secure Site Pro 证书,一种是 OV 证书,另一种是 EV 证书。

  • Secure Site Pro SSL
    获取适合您需要的 OV 证书。为一个域、一个通配符域及其所有子域提供加密和授权,或者使用使用者可选名称 (SAN) 保护一个证书上的多个域和通配符域。
  • Secure Site Pro EV SSL
    获取适合您需要的扩展验证证书。提供加密和授权以保护一个域或使用使用者可选名称 (SAN) 保护一个证书上的多个站点(完全限定的域名)。

每张 Secure Site Pro 证书所包含的优势

每张 Secure Site Pro 证书包括(免费)对未来在 CertCentral 中新增的高级功能(例如,CT 日志监视和验证管理)的最先访问权。

其他优势包括:

  • 优先验证
  • 优先支持
  • 两个高级网站标章
  • 恶意软件检查
  • 行业一流保证

要对您的 CertCentral 帐户启用 Secure Site Pro 证书,请联系您的客户经理或我们的支持团队

欲了解有关我们的 Secure Site Pro 证书的更多信息,请参阅 DigiCert Secure Site Pro

compliance

公共 SSL 证书不再保护具有下划线的域名 ("_")。所有之前颁发的在域名中包含下划线的证书必须在此日期前失效。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。

有关更多信息,请参阅停用域名中的下划线

compliance

关于在 ECC SSL/TLS 证书中包括 CanSignHttpExchanges 扩展名的行业标准要求:

  • 包括 "cansignhttpexchanges=yes" 参数的域的 CAA 资源记录*
  • 椭圆曲线密码体制 (ECC) 密钥对
  • CanSignHttpExchanges 扩展名
  • 最长 90 天有效期*
  • 仅用于 Signed HTTP Exchange

*注意:这些要求从 2019 年 5 月 1 日开始生效。Signed HTTP Exchanges 扩展名目前正在积极开发中。随着行业的进一步发展,可能会对要求作出其他更改。

90 天证书最长有效期要求不影响在 2019 年 5 月 1 日之前颁发的证书。请注意,补发的证书将缩短为自补发日期起 90 天。但是,您可以继续补发证书以达到已购买的完整有效期。

CanSignHttpExchanges 扩展名

最近我们新增了证书配置文件 HTTP Signed Exchanges,以帮助解决 AMP URL 显示问题,即,在地址栏中不显示您的品牌。请参阅显示具有 Signed Exchange 的优化 AMP URL

新的配置文件允许在 OV 和 EV SSL/TLS 证书中包括 CanSignHttpExchanges 扩展名。一旦为您的帐户启用后,在您的 OV 和 EV SSL/TLS 证书请求单的其他证书选项下将显示在证书中包括 CanSignHttpExchanges 扩展名选项。请参阅获取 Signed HTTP Exchange 证书

要为您的帐户启用该证书配置文件,请联系您的客户经理或联系我们的支持团队

compliance

CA 不再颁发在域名中含有下划线(公用名和使用者可选名称)的 30 天公共 SSL 证书。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。

有关更多信息,请参阅停用域名中的下划线

compliance

您可以在最后一天从任何 CA 订购在域名中含有下划线(公用名和使用者可选名称)的 30 天公共 SSL 证书。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。

有关更多信息,请参阅停用域名中的下划线

compliance

您无需执行任何操作。

从 2019 年 2 月 13 日开始,DigiCert 不再颁发具有曲线-哈希对 P-384 和 SHA-2 512 (SHA-512) 的 ECC TLS/SSL 证书(即,具有 ECDSA 密钥的证书)。该曲线-哈希对不符合 Mozilla 的根存储策略。

Mozilla 的根存储策略支持的曲线-哈希对仅包括:

  • P‐256 和 SHA-256
  • P‐384 和 SHA-384

注意:您是否拥有具有 P-384 和 SHA-512 曲线-哈希对的证书?不用担心!即将续订证书时,将自动使用支持曲线-哈希对颁发。

compliance

证书颁发机构 (CA) 吊销所有含有下划线(在公用名和使用者可选名称中)且最长有效期超过日结束后 30 天(UTC 时间)的公共 SSL 证书。

如果您有总有效期 31 天或更长时间(包括所有 1 年、2 年和 3 年证书)且在 2019 年 1 月 14 日后到期的 SSL 证书,颁发您的证书的证书颁发机构需吊销该证书。

有关更多信息,请参阅停用域名中的下划线

compliance

DigiCert 开始颁发含有下划线且具有有限时间的公共 SSL 证书。

  • 域名中含有下划线且最长 30 天有效期的公共 SSL 证书。
  • 基域中不得含有下划线(允许使用 "example_domain.com")。
  • 最左侧域标签不得含有下划线(允许使用 "_example.domain.com" 和 "example_domain.example.com")。

有关更多信息,请参阅停用域名中的下划线

new

在顶部菜单中,我们新增了两个联系支持选项(电话和聊天图标),更方便联系 CertCentral 内的支持人员(通过电子邮件、聊天或电话)。

电话图标为您提供电子邮件和电话选项。聊天图标为您提供聊天窗口,您可以与我们的其中一位支持团队专员开始聊天。

enhancement

我们改进了侧栏菜单。,更容易看到您正在访问的页面的菜单选项。现在,当您访问 CertCentral 中的页面时,该页面的菜单选项旁边会有一个蓝色横栏。

fix

我们修复了 SSL/TLS 证书请求表上的添加组织功能,以前,在证书订单中不包括新增的已验证组织的验证状态(EV 和 OV 验证)。

现在,在订购 SSL 证书时新增的组织将显示已验证状态。

注意:直到我们充分验证组织后才显示组织的验证状态。

compliance

行业标准合规性更改。对于公共可信证书,子域中不可再包含下划线 ( _ )。现在也对子域执行 RFC 5280。

请参阅公共可信证书 - 违反行业标准的数据条目

八月 1, 2018

compliance

行业标准更改并删除了基准要求 (BR) 中的两种域控制验证 (DCV) 方法。

从 2018 年 8 月 1 日开始,证书颁发机构无法再使用以下域控制验证 (DCV) 方法:

  • 3.2.2.4.1 验证申请者为域联系人
    CA 可通过该方法和域名注册员直接确认证书申请者是域联系人,从而验证申请者对 SSL/TLS 证书订单上的域的控制权。
  • 3.2.2.4.5 域授权文档
    CA 可通过该方法确认申请者订购域授权文档中包含的所述域的授权,从而验证申请者对 SSL/TLS 证书订单上的域的控制权。
    请参阅投票 218:删除验证方法 1 和 5

欲了解关于可用 DCV 方法的更多信息,请参阅域控制验证 (DCV) 方法

五月 25, 2018

compliance

DigiCert 符合 GDPR

《一般数据保护条例》(GDPR) 是一项对所有欧盟地区人士提供数据保护和隐私保护的欧盟法律。其主要目的是让欧盟公民居民和居民对其个人数据拥有更大的控制权,并且通过统一欧盟地区法规,简化国际业务的法规环境。GDPR 在 2018 年 5 月 25 日开始生效。更多详细信息 »

DigiCert 声明

DigiCert 努力理解并遵守 GDPR。当 GDPR 在 2018 年 5 月 25 日开始生效时,我们已经与 GDPR 的要求保持一致。请参阅遵循《一般数据保护条例》(GDPR)

compliance

GDPR 对基于 WHOIS 的电子邮件域控制验证 (DCV) 的影响

欧盟《一般数据保护条例》(GDPR) 在 2018 年 5 月 25 日开始生效。GDPR 要求对居住在欧盟 (EU) 境内的自然人(非企业实体)提供数据保护。

DigiCert 与 ICANN 开展联合工作,使得 WHOIS 信息公开可用。ICANN 宣布将继续注册处和注册员将信息提交至 WHOIS,并针对 GDPR 作出了一些更改。请参阅关于 WHOIS、GDPR 和域验证的说明

您是否依赖于基于 WHOIS 的电子邮件域控制验证?

请咨询您的域注册员,以确定他们是否使用匿名处理的电子邮件或 Web 表单作为 CA 为遵循 GDPR 而访问 WHOIS 数据的一种方式。

为了最大限度地提高验证流程的效率,请告知注册员您希望其为您的域继续使用您发布的完整记录还是使用匿名处理的电子邮件地址。使用这些选项将确保对我们的验证流程造成极小甚至不造成影响。

您的注册员是否使用匿名处理的电子邮件或 Web 表单作为 CA 访问 WHOIS 数据的一种方式。如果是,我们可以将 DCV 电子邮件发送至其 WHOIS 记录上列出的地址。

您的注册员是否屏蔽或删除电子邮件地址?如果是,您需使用另外一种方式证明对域的控制权:

  • 构造的电子邮件
  • DNS TXT
  • DNS CNAME
  • HTTP 实用演示

有关构造的电子邮件地址及其他备用 DCV 方法的更多信息,请参阅域控制验证 (DCV) 方法

五月 10, 2018

compliance

行业标准允许证书颁发机构 (CA) 为仅具有 CAA 记录且不包含 "issue"/"issuewild" 属性标记的域颁发 SSL/TLS 证书。

当 CA 查询域的 CAA RR 并找到其中不含 "issue" 或 "issuewild" 属性标记的记录时,CA 可以将其解释为为该域颁发 SSL/TLS 证书的权限。请参阅投票 219:澄清关于不含 "issue"/"issuewild" 属性标记的 CAA 记录集的处理

要了解有关 CAA RR 检查流程的更多信息,请参阅我们的 DNS CAA 资源记录检查页面。

四月 1, 2018

compliance

鉴于整个行业弃用 TLS 1.0/1.1 并且为了维护我们的 PCI 合规性,DigiCert 从 2018 年 4 月 1 日开始停用 TLS 1.0/1.1。DigiCert 此后将支持 TLS 1.2 及更高版本。请参阅弃用 TLS 1.0 & 1.1

三月 2, 2018

compliance

DigiCert 实施改进的组织单位 (OU) 验证流程。

根据基准要求:

"CA 将实施流程防止 OU 来源属性包括名称、DBA、商业名称、商标、地址、位置或其他指涉特定自然人或法人的文本,CA 已根据第 11.2 节验证此信息的除外。"

注意:OU 字段为可选字段。不要求在证书请求中包括组织单位。

三月 1, 2018

compliance

从 2018 年 3 月 1 日起,补发(或颁发副本)的公共 3 年 SSL/TLS 证书允许的最大期限为 825 天。

请注意,对于在 2017 年 3 月 1 日之后颁发的 3 年 OV 证书,在 3 年证书生命周期的第一年期间,所有补发和副本证书的生命周期可能短于"原始"证书的生命周期,并且这些补发的证书将最先过期。请参阅
这对我的 3 年补发证书和副本证书有什么影响?

二月 21, 2018

compliance

从 2018 年 2 月 21 日开始,DigiCert 将仅提供 1 年和 2 年公共 SSL/TLS 证书,因为更改后的行业标准限制公共 SSL 证书不超过 825 天(大约 27 个月)。请参阅 2018 年 2 月 20 日为新 3 年证书订单的最后一天

compliance

这仅用于提供信息,无需执行任何操作。

从 2018 年 2 月 1 日开始,DigiCert 将所有新颁发的公共 SSL/TLS 证书发布到公共 CT 日志中。这不会影响在 2018 年 2 月 1 日之前颁发的任何 OV 证书。请注意,从 2015 年起,已经要求对 EV 证书进行 CT 日志记录。请参阅从 2 月 1 日起将 DigiCert 证书记录到公共日志

enhancement

在 CertCentral 中新增了"在订购证书时从 CT 日志中排除"功能。当您启用此功能(设置 > 首选项)时,您允许帐户用户基于每证书订单将公共 SSL/TLS 证书保留在公共 CT 日志之外。

订购 SSL 证书时,用户可选择不将 SSL/TLS 证书记录到公共 CT 日志中。当用户订购新证书、补发证书和续订证书时,该功能可用。请参阅 CertCentral 公共 SSL/TLS 证书 CT 日志指南

enhancement

在 SSL 证书请求 API 端点中新增了 CT 日志排除可选字段 (disable_ct)。此外,新增了 CT 日志颁发的证书排除端点 (ct-status)。请参阅 CertCentral API 公共 SSL/TLS 证书透明度排除指南

十月 24, 2017

compliance

CAA 资源记录检查的行业标准变更。修改了检查含有 8 条或更少 CNAME 记录的 CNAME 链的流程,并且搜索不包括 CNAME 记录的目标的父级。请参阅 DNS CAA 资源记录检查

九月 8, 2017

compliance

颁发证书的行业标准变更。修订了证书颁发流程以检查 DNS CAA 资源记录。请参阅 DNS CAA 资源记录检查

七月 28, 2017

compliance

行业标准合规性变更;增强了 RFC 5280 违规检查和执行。请参阅公共可信证书 - 违反行业标准的数据条目

七月 21, 2017

compliance

验证流程的行业标准变更。超过 825 天的验证信息(DCV 或组织)必须重新验证后,才能处理证书补发、续订或颁发。更多详细信息 »

七月 10, 2017

compliance

行业标准合规性变更;增加了对附加域控制验证 (DCV) 方法的支持。请参阅域预验证:域控制验证 (DCV) 方法