最新消息:11月15日起,OV 代碼簽名證書私鑰需硬件存儲!
根據CA/B論壇最新標準要求,從2022年11月15日起,OV代碼簽名證書私鑰必須存儲在FIPS140-2 Level2、Common Criteria EAL4級以上或者同等認證級別的硬件中(包括USB令牌、硬件安全模塊HSM等),與EV代碼簽名證書私鑰保護機制一樣,以便加強代碼簽名證書私鑰的保護。
為什么OV代碼簽名證書從“軟證書”變為“硬證書”?
由于存儲介質不同,數字證書可分為“軟證書”和“硬證書”。“軟證書”,即以電子文檔的形式,將證書存放在網絡上;“硬證書”,則是通過硬件安全介質,存放私鑰。
OV代碼簽名證書就屬于“軟證書”,因為該證書的密鑰對在軟件中生成,CA簽發機構用郵件方式將電子文檔形式的證書交付給用戶。此外,用戶一般將私鑰存儲在電腦上,私鑰極易導出并共享給他人,這就很容易引發私鑰泄露。
但是,從11月15日起,所有新簽發的OV代碼簽名證書和私鑰都將存儲在硬件安全模塊中,且不支持導出私鑰,CA機構通過郵寄的方式將存儲有證書和私鑰的硬件交付給用戶。無疑,這將有助于最大限度地降低私鑰泄露的可能性。所以,新規執行開始,OV代碼簽名證書將從“軟證書”變為”硬證書”。
代碼簽名證書新規對你有什么影響?
如果是11月15日之前頒發的OV代碼簽名證書,用戶可以繼續正常使用,不受此- 新規影響。因此,有需要“軟證書”的軟件開發者請抓緊在新規執行時間之前簽發。
當用戶在11月15日之后重簽、續費、新購OV代碼簽名證書時,則需要遵守新規,選擇符合存儲私鑰的硬件類型,以便安全獲取存儲最新代碼簽名證書和私鑰。
注意:部分CA機構可能將提前實施更改,如Sectigo OV代碼簽名證書將在10月30日開始執行新規,請關注銳成云資訊了解最新代碼簽名證書信息。
哪些方式可用于存儲證書和私鑰?
1. USB 令牌
USB安全令牌通常是分配給組織內各個用戶的小型便捷設備,是存儲代碼簽名證書最常用的一種方式。一般而言,CA機構提供特定的USB令牌存儲證書和私鑰,比如Sectigo CA,但不支持用戶提供的USB令牌。部分CA的代碼簽名證書支持用戶自己購買的符合規定的USB令牌。
2. 硬件安全模塊HSM
用戶可以使用自有的硬件安全模塊來存儲證書和私鑰,但需要向CA機構證明使用的設備符合新規要求,即必須達到FIPS140-2 Level2、Common Criteria EAL4級以上或者更高標準,且支持密鑰長度達到或超過3072位的RSA或256位的ECC加密算法。
3. 代碼簽名服務和應用程序
用戶不需要任何物理設備或硬件令牌,只需要將代碼簽名證書存儲在安全應用程序上,用戶通過云端方式對代碼進行數字簽名等,所有代碼簽名操作流程都被日志記錄并歸檔管控,方便審核、跟蹤簽名活動。此方案成本低,安全性高,可以滿足絕大部分企業,尤其是擁有異地研發團隊企業的代碼簽名需求。
最后,請使用OV代碼簽名證書的用戶注意了,部分CA將從10月底開始停止簽發“軟證書”,執行使用硬件設備存儲代碼簽名證書和私鑰了。
關于代碼簽名證書更多消息,請搜索銳成官網關注最新資訊。
