Symantec
11/04/2016

Symantec Managed PKI per SSL

Emissione e gestione, in completa autonomia, dei Certificati SSL

Il 7 aprile 2016 sono stati rilasciati una serie di miglioramenti al servizio Managed PKI per SSL:


Nuovi profili di certificato per SSL Premium

Se si utilizzano certificati Symantec SSL/TLS in ambienti specifici come Windows Exchange Federation, i certificati SSL/TLS devono contenere le estensioni aggiuntive che non sono supportate dai profili standard di Symantec.

Symantec sta introducendo un nuovo tipo di server con i profili personalizzati, tra i quali Subject Key Identifier (SKI), Data Encipherment e Non-Repudation. Questo cambiamento è applicabile a Premium SSL e Premium Intranet SSL.


Extended Validation (EV) Code Signing

Windows 10 richiede che i driver della modalità kernel e quelli della modalità utente siano firmati con un Code Signing EV. Authenticode Code Signing non può essere utilizzato in ambiente Windows 10.

I clienti saranno in grado di richiedere i certificati EV Code Signing attraverso la loro console Managed PKI per SSL.


Download Center dei certificati

I clienti saranno in grado di scaricare il file zip, che contiene il certificato end-entity e il corrispondente Intermediate CA file, dal Certificate Download Center (CDC). Il CDC-link per ogni certificato sarà disponibile nella e-mail di approvazione.


Cambiamento degli identificatori di policy per i certificati EV SSL/TLS e i Code Signing

I requisiti Microsoft Trusted Root Certificate affermano che le CA devono utilizzare i seguenti OID nel certificato end-entity: DV2.23.140.1.2.1; OV2.23.140.1.2.2; EV2.23.140.1.1; IV2.23.140.1.2.3; EV Code Signing 2.23.140.1.3; Non-EV Code Signing 2.23.140.1.4.

Per allinearsi con il programma Microsoft Trusted Root Certificate, gli identificatori di policy Symantec nel profilo del certificato saranno sostituiti con i seguenti:

Prodotto Identificatore di policy corrente Nuovo identificatore di policy
EV SSL/TLS 2.16.840.1.113733.1.7.23.6 2.16.840.1.113733.1.7.23.6
2.23.140.1.1
Code Signing 2.16.840.1.113733.1.7.23.3 2.23.140.1.4.1


Report Enhancement per il Certificate Transparency (CT)

Symantec supporta pienamente il CT. Con questo aggiornamento, i clienti potranno ottenere un servizio di self-sign che permette loro di vedere le loro CT-Preferences. Inoltre, si riduce la necessità per i clienti di contattare l'assistenza in quanto avranno la possibilità di scaricare il loro Real-Time CT Preference Report per i certificati rilasciati attraverso MSSL.


Miglioramento delle API

I clienti saranno in grado di scaricare il corrispondente Intermediate CA file tramite l'API VICE 2. Questo miglioramento delle API consente ai clienti di completare l’automazione delle loro applicazioni interne.


Disabilitazione del supporto TLS 1.0 nella Managed PKI per SSL

Il supporto a TLS 1.0 sarà gradualmente eliminato dai sistemi Symantec. Saranno supportati soltanto TLS 1.1 e 1.2. Ciò è conforme alla prassi del settore per una maggiore sicurezza. Assicuratevi che il vostro browser supporti TLS 1.1 e 1.2. Se si utilizzano le API VICE, si prega di assicurarsi che i sistemi di accesso alle API siano TLS 1.2 o almeno TLS 1.1. I clienti API possono avere bisogno di aggiornare il loro JDK a quello più recente per supportare TLS 1.1 e 1.2.

Per ogni ulteriore informazione o chiarimento potete contattare il nostro supporto tecnico.