篩選依據: New x 清除
new

DigiCert replacing multiple intermediate CA certificates

On November 2, 2020, DigiCert is replacing another set of intermediate CA certificates (ICAs). For a list of the ICA certificates being replaced, see our DigiCert ICA Update KB article.

How does this affect me?

Rolling out new ICAs does not affect existing certificates. We don't remove an old ICA from certificate stores until all the certificates issued from it have expired. This means active certificates issued from the replaced ICA will continue to be trusted.

However, it will affect existing certificates if you reissue them as they will be issued from the new ICA. We advise you to always include the provided ICA with every certificate you install. This has always been the recommended best practice to ensure ICA replacements go unnoticed.

No action is required unless you do any of the following:

  • Pin the old versions of the intermediate CA certificates
  • Hard code the acceptance of the old versions of the intermediate CA certificates
  • Operate a trust store that includes the old versions of the intermediate CA certificates

If you do any of the above, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICAs are trusted (in other words, can chain up to their updated ICA and trusted root).

Intermediate CA certificate replacements

Make sure to monitor the pages listed below. These are active pages and are updated regularly with ICA certificate replacement information and copies of the new DigiCert intermediate CA certificates.

Why is DigiCert replacing intermediate CA certificates?

We are replacing ICAs to:

  • Promote customer agility with ICA replacement
  • Reduce the scope of certificate issuance from any given ICA to mitigate the impact of changes in industry standards and CA/Browser Forum guidelines to intermediate and end-entity certificates
  • Improve the security of the Internet by ensuring all ICAs operate using the latest improvements

If you have questions or concerns, please contact your account manager or our support team.

new

ICA certificate chain selection for public OV and EV flex certificates

We are happy to announce that public OV and EV certificates with flex capabilities now support Intermediate CA certificate chain selection.

You can add an option to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues your public OV and EV "flex" certificates.

This option allows you to:

  • Set the default ICA certificate chain for each public OV and EV flex certificate.
  • Control which ICA certificate chains certificate requestors can use to issue their flex certificate.

Configure ICA certificate chain selection

To enable ICA selection for your account, contact your account manager or our Support team. Then, in your CertCentral account, on the Product Settings page (in the left main menu, go to Settings > Product Settings), configure the default and allowed intermediates for each type of OV and EV flex certificate.

For more information and step-by-step instructions, see ICA certificate chain option for public OV and EV flex certificates.

new

DigiCert Services API support for ICA certificate chain selection

In the DigiCert Services API, we made the following updates to support ICA selection in your API integrations:

  • Created new Product limits endpoint
    Use this endpoint to get information about the limits and settings for the products enabled for each division in your account. This includes ID values for each product's default and allowed ICA certificate chains.
  • Added support for ICA selection to public TLS OV and EV flex certificate order requests
    After you configure allowed intermediates for a product, you can select the ICA certificate chain that should issue your certificate when you use the API to submit an order request.
    Pass in the ID of the issuing ICA certificate as the value for the ca_cert_id parameter in the body of your order request

Example flex certificate request:

Example flex certificate request

For more information about using ICA selection in your API integrations, see OV/EV certificate lifecycle – (Optional) ICA selection.

new

CertCentral: Add emergency contacts for your account

We are happy to announce we added a new emergency contact option to CertCentral. These email addresses receive all emergency communications, such as urgent security concerns, required certificate revocations, and changes to industry guidelines.

By default, CertCentral sends emergency notifications to the organization contact for the primary organization on your account. Until you update your emergency contacts, we also send these notifications to the email addresses assigned to receive all account notifications.

We recommend verifying and updating the emergency contacts for your account. It should only take a few minutes.

To verify and update the emergency contacts for your account:

  1. Sign in to your CertCentral account.
  2. In the left main menu, go to Settings > Notifications.
  3. On the Notifications page, in the Send all emergency notifications to box, enter the email addresses you want to receive all emergency communications.
  4. When you are finished, check Verify emergency contacts.

See Add emergency contact email addresses for your account.

new

Discovery: Delete all certificates and endpoints from scan results

We added a new Delete all certificates and endpoints option that enables you to delete certificate and endpoint information from your Discovery scan records in your CertCentral account.

To Delete all certificates and endpoints from scan results:

  1. In your CertCentral account, go to Discovery > Manage Discovery.
  2. On the Manage scans page, in the More actions dropdown, click Delete all certificates and endpoints.
  3. In the Delete all certificates and endpoints window, click Delete.

Permanently delete certificates and endpoint records

To permanently delete certificate and endpoint information from your scan results, you also need to remove the associated FQDNs and IP addresses from you scans. See Edit a scan.

new

憑證生命周期電郵語言喜好設定的帳戶設定

我們新增了使用於從 CertCentral 傳出的憑證生命周期電郵的帳戶語言設定。現在,在通知頁面上,您可以設定使用於整個帳戶的憑證生命周期電郵的語言喜好設定。

目前我們支援適用於憑證生命周期特定電郵的這 11 種語言:

  • 英文
  • 簡體中文
  • 繁體中文
  • 法文
  • 德文
  • 義大利文
  • 日文
  • 韓文
  • 葡萄牙文
  • 俄文
  • 西班牙文

憑證生命周期電郵語言如何支援工作?

當您前往 CertCentral 中的通知頁面時,請使用電郵語言下拉清單設定用於整個帳戶的憑證生命周期電郵語言。

例如,如果您將電郵語言設定為義大利文,所有憑證生命周期電郵將會使用義大利文,無論個別的帳戶語言設定為何。

電郵語言選項僅變更憑證生命周期電郵中使用的語言。此選項不會變更個別帳戶中使用的語言。在設定檔設定頁面的語言下拉清單中,設定您的帳戶的語言。請參閱 CertCentral 語言喜好設定

這些憑證生命周期設定在哪裏?

若要存取左側主功能表中的憑證生命周期電郵預設值設定,請前往設定 > 通知。若要瞭解更多,請參閱設定憑證生命周期電郵設定

new

新憑證生命周期電郵設定

我們新增了其他通知設定到 Certificate 生命周期電郵設定中 — 傳送組織核准電郵到使用者下的訂單中。此設定允許您控制組織核准電郵是否已傳送給憑證要求者。

什麼是組織核准電郵?

當要求者是系統管理員或組織聯絡人時,我們傳送電郵讓他們知道 DigiCert 已驗證組織,而且他們現在可以發行用於該組織的憑證。

註:此新設定僅適用於在要求中納入新的,但仍待驗證的組織的訂單。

這些憑證生命周期設定在哪裏?

若要存取左側主功能表中的憑證生命周期電郵預設值設定,請前往設定 > 通知。若要瞭解更多,請參閱設定憑證生命周期電郵收件者

new

「探索」現在在所有 CertCentral 帳戶中都可使用

我們很榮幸宣佈,現在所有現有的 CertCentral 帳戶都納入了「探索」功能,這是我們最新和最強固的憑證探索工具。

註:對於那些曾使用 Certificate Inspector 者,「探索」取代了我們長期以來的 DigiCert 工具 -Certificate Inspector。

根據預設值,「探索」包括雲端掃描和感應器掃描試驗與 100 份憑證限制。

雲端掃描

雲端掃描使用基於雲端的感應器,因此沒有任何內容要安裝或管理。您可以立刻開始掃描,以尋找您所有面向公共的 SSL/TLS 憑證,無論發行憑證授權機關 (CA) 為何。雲端掃描每 24 小時執行一次。

  • 若要瞭解更多,請參閱探索雲端掃描服務
  • 若要執行您的第一次雲端掃描,請在您的左側主功能表中,前往探索 > 管理探索。在管理掃描頁面上,按一下單次雲端掃描

感應器掃描

感應器掃描是我們最強固的「探索」版本。此版本使用感應器掃描您的網路以快速尋找 您所有的內部和公共面臨的 SSL/TLS 憑證,無論發行憑證授權單位 (CA) 為何。「探索」也尋找憑證設定和實行中的問題,以及您的端點設定中的憑證相關漏洞或問題。

從您的 CertCentral 帳戶內部,集中設定和管理掃描。掃描結果顯示在 CertCentral 內部的直覺與互動式儀表板上。設定掃描執行一次,或在設定好的時程執行多次。

  • 若要瞭解更多有關安裝感應器和開始掃描您的 SSL/TLS 憑證的資訊,請參閱探索使用指南
  • 若要在試用期結束後繼續使用感應器掃描,請聯絡您的帳戶管理員或我們的支援團隊
new

探索稽核記錄

「探索」新增了新功能 — 探索稽核記錄 — 可讓您追蹤您的 CertCentral 帳戶中的「探索」相關活動。這些稽核記錄提供使用者活動的解析,讓您可以看到需要訓練的部份、重新建構事件以排除問題、偵測誤用和探索問題區域。

若要讓透過「探索稽核記錄」中的資訊排序變得更加容易,我們已納入數個篩選器:

  • 日期範圍
  • 分區
  • 使用者
  • IP 位址
  • 動作
    (例如使感應器失效、刪除掃描等)

若要存取「探索稽核記錄」,請在左側的主功能表中,按一下帳戶 > 稽核記錄。)在稽核記錄頁面上,按一下探索稽核記錄

new

探索語言支援

隨著我們致力於全球化我們的產品提供,並且讓我們的網站、平台和文件更容易取得,我們很榮幸宣佈我們已新增語言支援到 CertCentral 的「探索」中。

現在,在 CertCentral 中設定您的語言喜好設定時,將「探索」納入組態中。

設定您的語言喜好

在您帳戶右上角的"您的姓名"下拉清單中,選擇我的設定檔。在設定檔設定頁面的語言下拉清單中,選擇其中一種語言,然後按儲存變更

請參閱 CertCentral 語言喜好設定

fix

漏洞修復:DV 憑證訂單未遵守「提交基本網域進行驗證」帳戶設定

我們修復了 DV 憑證網域控制驗證 (DCV) 程序中的漏洞,其中的 DV 憑證訂單未遵守提交基本網域進行驗證帳戶設定。

註:關於 DV 憑證訂單,您必須驗證網域名稱是否和訂單中的命名完全相同。

現在,DV 憑證訂單遵照提交基本網域進行驗證帳戶設定,允許您在您的 DV 憑證訂單上的基本網域層級驗證您的子網域。

若要檢視您帳戶中的「網域驗證範圍」設定,請前往設定 > 喜好設定.在「分區喜好設定」頁面上,展開+進階設定網域驗證範圍設定在網域控制驗證 (DCV) 區段中。

new

API 金鑰和 ACME Directory URL 的新位置

隨著越來越多的組織致力於 SSL/TLS 憑證部署的自動化,我們新增了新的左側主功能表選項自動化並且在新功能表選項下,放置了兩個自動化憑證部署的主要工具:API 金鑰ACME Directory URL

之前,您從「帳戶存取」頁面存取這些功能。現在,我們已將其新增到左側主功能表中 (在主功能表中,按一下自動化 > API 金鑰自動化 > ACME Directory URL)。

註:僅帳戶系統管理員和管理員可以在他們的左側主功能表中看到自動化功能表選項。

new

我們新增了兩個新狀態到組織組織詳細資料頁面中:驗證即將到期,驗證已到期。這些新狀態讓主動追蹤您的組織驗證,以及確定其保持最新變得更加容易。

現在,當您瀏覽組織頁面 (在資訊看板功能表中,按一下憑證 > 組織),您可以輕鬆找出驗證即將到期或已到期的組織。如需更多有關即將到期或已到期的組織驗證的詳細資料,請按一下組織名稱。

fix

我們修復了漏洞,其中有些帳戶無法提交組織進行 EV CS – Code Signing Organization Extended Validation (代碼簽章組織延伸驗證)。受影響的帳戶僅包含 EV Code Signing 和 Code Signing 產品。

作為作為修復的一部份,我們分開了 EV 和 EV CS 確認的聯絡選項。現在,在提交組織進行 EV CS – Code Signing Organization Extended Validation (代碼簽章組織延伸驗證) 時,您可以提交組織的確認的聯絡人進行僅 EV CS 訂單核准。現在,在提交組織進行r EV CS – Extended Organization Validation (延伸組織驗證,EV) 時,您可以提交組織的確認的聯絡人進行僅 EV SSL 憑證訂單核准。

註:關於 EV 代碼簽章憑證訂單,需要預先驗證組織和組織的確認的聯絡人。如需更多有關組織預先驗證的資訊,請參閱我們的提交組織進行預先驗證指示

enhancement

在「探索」,我們更新了「憑證」頁面,新增了新動作 — 取代憑證 — 到動作下拉清單中。現在,從「憑證」頁面中,您可以 DigiCert 憑證取代任何憑證,無論發行 CA 為何。

(在資訊看板功能表中,按一下探索 > 檢視結果。在「憑證」頁面上,尋找用於您要取代的憑證的「動作」下拉清單。按一下動作 > 取代憑證。)

enhancement

在「探索」,我們更新了「探索」儀表板上的依評级區分憑證小工具,讓查看您的公用 SSL/TLS 憑證的安全評級變得更加容易 (在資訊看板功能表中,按一下探索 > 探索儀表板)。

作為更新的一部份,我們將小工具重新命名:依安全評級分析的憑證。然後,我們在小工具上將圖表分成兩個:公用其他。現在您可以使用小工具上的公用 | 其他切換開關選擇您要使用的圖表。

依安全評級分析的憑證 - 公用表僅顯示您的公用 SSL/TLS 憑證的評級。依安全評級分析的憑證 - 其他表顯示您所有其他 SSL/TLS 憑證 (例如私密 SSL 憑證) 的評級。

enhancement

在「探索」中,我們更新端點伺服器詳細資料頁面,請查看 IP 位址和主機名稱和/FQDN 掃描的來源之間的關聯變更更加容易。

現在,當您設定主機名稱/FQDN 的掃描時,掃描的端點結果傳回 IP 位址,我們會連同 IP 位址納入來自掃描的主機名稱/FQDN。

更新注意事項:在最新感應器版本 - 3.7.10 中可使用主機名稱更新。在感應器更新完成後,請重新執行掃描以查看您的掃描結果上的主機名稱/IP 位址關聯。

new

在 DigiCert Services API 中,我們新增了兩個用於訂購您的 Secure Site Pro 憑證的新端點:訂購 Secure Site Pro SSL訂購 Secure Site Pro EV SSL

  • POST https://www.digicert.com/services/v2/order/certificate/ssl_securesite_pro
  • POST https://www.digicert.com/services/v2/order/certificate/ssl_ev_securesite_pro

每份 Secure Site Pro 憑證具有的優點

每份 Secure Site Pro 憑證都免費納入 – 優質功能的優先存取權,例如後量子加密 (PQC) 工具組

其他優點包括:

  • 優先驗證
  • 優先支援
  • 兩個進階網站圖章
  • 惡意軟體檢查
  • 領先業界的保證 – 保護您和您的客戶!

若要瞭解更多有關我們的 Secure Site Pro 憑證的資訊,請參閱 DigiCert Secure Site Pro

若要啟用用於您的 CertCentral 帳戶的 Secure Site Pro 憑證,請聯絡您的帳戶管理員或我們的支援團隊

new

我們已新增新的工具到我們的 CertCentral 組合中—探索—提供您的整個 SSL/TLS 憑證全貌的即時分析。

「探索」是針對快速尋找您的所有面向內部和公用的 SSL/TLS 憑證而設計,與發行的憑證授權單位 (CA) 無關,「探索」找出憑證設定和實行的問題,以及您的端點設定中與憑證相關的漏洞或問題。

註:「探索」使用感應器掃描您的網路。感應器是安裝在策略位置的小型軟體應用程式。每次掃描都連結一個感應器。

從您的 CertCentral 帳戶內部,集中設定和管理掃描。掃描結果顯示在 CertCentral 內部的直覺與互動式儀表板上。設定掃描執行一次,或在設定好的時程執行多次。

enhancement

我們已更新「CertCentral SAML 聯盟設定」,讓您可以不讓您的聯盟名稱出現在 SAML 單一登入 IdP 選擇SAML 憑證要求 IdP 選擇頁面上的 IdP 清單中。

現在,在「聯盟設定」頁面的「您的 IDP 的中繼資料」下,我們新增了納入聯盟名稱選項。如果您不想要您的聯盟名稱出現在 IdP 選擇頁面的 IdP 清單上,,請取消勾選新增我的同盟名稱到 IdP 的清單中

new

在 CertCentral 中可用的 Secure Site Pro TLS/SSL 憑證。使用 Secure Site Pro 依照網域向您收費,沒有基礎憑證費用。新增一個網域就收取一個的費用。需要九個網域時,就收取九個的費用。保護一份憑證上最多 250 個網域的安全。

我們提供兩種類型的 Secure Site Pro 憑證,一種適用於 OV 憑證,另一種適用於 EV 憑證。

  • Secure Site Pro SSL
    取得符合您的需求的 OV 憑證。對網域、一個萬用字元網域和所有其子網域提供加密和驗證,或使用主體別名 (SAN) 以一份憑證保護多個網域和萬用字元網域的安全。
  • Secure Site Pro EV SSL
    取得符合您的需求的延伸驗證憑證。提供加密或驗證以保護一個網域的安全,或使用主體別名 (SAN) 以一份憑證保護多個網站的安全 (完全合格的網域名稱)。

每份 Secure Site Pro 憑證具有的優點

每份 Secure Site Pro 憑證都包括 – 無額外費用 – 先存取將來的其他進階功能到 CertCentral (例如 CT 記錄監控和驗證管理)。

其他優點包括:

  • 優先驗證
  • 優先支援
  • 兩個進階網站圖章
  • 惡意軟體檢查
  • 領先業界的保證

若要啟用用於您的 CertCentral 帳戶的 Secure Site Pro 憑證,請聯絡您的帳戶管理員或我們的支援團隊

若要瞭解更多有關我們的 Secure Site Pro 憑證的資訊,請參閱 DigiCert Secure Site Pro

compliance

Public SSL 憑證不再保護有底線 ("_") 的網域名稱的安全。網域名稱中,所有有底線的之前發行的憑證必須在此日期前到期。

註:喜好的底線解決方法是將包含底線的主機名稱 (FQDN) 重新命名,並且取代憑證。但對於無法重新命名的情況,您可以使用私密憑證,而且在有些情況中,您可以使用保護整個網域的安全的萬用字元憑證

如需更多詳細資料,請參閱去除網域名稱中的底線

enhancement

我們增強了我們的 RapidSSL DV 憑證方案,讓您可以在這些單一網域憑證中,納入第二個非常特定的網域。

  • RapidSSL Standard DV
    現在根據預設值,在訂購 RapidSSL Standard DV 憑證時,您會得到憑證中兩個版本的一般名稱 —[your-domain].com 和 www.[your-domain].com。
    在輸入一般名稱後,確定勾選在憑證中納入 www.[your-domain].com 和[your-domain].com 方塊。
    之前,您必須分別訂購[your-domain].com 和 www.[your-domain].com。
  • RapidSSL Wildcard DV
    現在根據預設值,在訂購 RapidSSL Wildcard DV 憑證時,您會得到憑證中的萬用字元網域和基本網域 – *.[your-domain].com 和[your-domain].com。
    在輸入一般名稱後,確定勾選在憑證中納入 *.[your-domain].com 和[your-domain].com 方塊。
    之前,您必須分別訂購 *.[your-domain].com 和[your-domain].com。

請參閱 CertCentral:DV 憑證註冊指南

enhancement

我們增強了 RapidSSL 憑證端點以納入 dns_names 參數,讓您可以在這些單一網域憑證中,納入第二個非常特定的網域。

  • RapidSSL Standard DV
    訂購 RapidSSL Standard DV 憑證時,您可在憑證中納入您的兩個版本的網域 —[your-domain].com 和 www.[your-domain].com。
    "common_name": "[your-domain].com",
    "dns_names":["www.[your-domain].com"],

    之前,您必須分別訂購[your-domain].com 和 www.[your-domain].com。
  • RapidSSL Wildcard DV
    訂購 RapidSSL Wildcard DV 憑證時,您可在憑證中納入基本網域 — *.[your-domain].com 和[your-domain].com)。
    "common_name": "*.your-domain.com",
    "dns_names":["[your-domain].com"],

    之前,您必須分別訂購 *.[your-domain].com 和[your-domain].com。

關於 DigiCert Services API 文件,請參閱 CertCentral API

new

CertCentral 中提供可用的 Individual Document Signing 憑證:

  • Document Signing – Individual (500)
  • Document Signing – Individual (2000)

若要啟用使用於您的 CertCentral 帳戶的 Document Signing 憑證,請聯絡您的銷售代表。

之前,僅可以使用 Organization Document Signing (組織文件簽署) 憑證。

  • Document Signing – Organization (2000)
  • Document Signing – Organization (5000)

若要瞭解更多有關這些憑證的資訊,請參閱 Document Signing 憑證

new

RapidSSL 和 GeoTrust DV 憑證在 CertCentral 中可用:

  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  • GeoTrust Standard DV
  • GeoTrust Wildcard DV

文件

一月 12, 2018

new

DigiCert 進行其他公開可用的 CT 記錄 (Nessie)。Nessie 是新的、有高度使用彈性的高效能憑證透明度 (CT) 記錄。

此 CT 記錄由五個記錄所組成,根據憑證到期以增量為一年的速度分享。以下是 CT 記錄端點 URL 及其憑證到期範圍和憑證到期範圍。

更多詳細資料 »