最新消息:11月15日起,OV 代码签名证书私钥需硬件存储!

RacentYY 2022-09-16
专栏 发布于 2022-09-16 10:00:52 阅读 43 评论 0

根据CA/B论坛最新标准要求,从2022年11月15日起,OV代码签名证书私钥必须存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件中(包括USB令牌、硬件安全模块HSM等),与EV代码签名证书私钥保护机制一样,以便加强代码签名证书私钥的保护。

为什么OV代码签名证书从“软证书”变为“硬证书”?

由于存储介质不同,数字证书可分为“软证书”和“硬证书”。“软证书”,即以电子文档的形式,将证书存放在网络上;“硬证书”,则是通过硬件安全介质,存放私钥。

OV代码签名证书就属于“软证书”,因为该证书的密钥对在软件中生成,CA签发机构用邮件方式将电子文档形式的证书交付给用户。此外,用户一般将私钥存储在电脑上,私钥极易导出并共享给他人,这就很容易引发私钥泄露。

但是,从11月15日起,所有新签发的OV代码签名证书和私钥都将存储在硬件安全模块中,且不支持导出私钥,CA机构通过邮寄的方式将存储有证书和私钥的硬件交付给用户。无疑,这将有助于最大限度地降低私钥泄露的可能性。所以,新规执行开始,OV代码签名证书将从“软证书”变为”硬证书”。

代码签名证书新规对你有什么影响?

  • 如果是11月15日之前颁发的OV代码签名证书,用户可以继续正常使用,不受此- 新规影响。因此,有需要“软证书”的软件开发者请抓紧在新规执行时间之前签发。

  • 当用户在11月15日之后重签、续费、新购OV代码签名证书时,则需要遵守新规,选择符合存储私钥的硬件类型,以便安全获取存储最新代码签名证书和私钥。

注意:部分CA机构可能将提前实施更改,如Sectigo OV代码签名证书将在10月30日开始执行新规,请关注锐成云资讯了解最新代码签名证书信息。

哪些方式可用于存储证书和私钥?

1. USB 令牌

USB安全令牌通常是分配给组织内各个用户的小型便捷设备,是存储代码签名证书最常用的一种方式。一般而言,CA机构提供特定的USB令牌存储证书和私钥,比如Sectigo CA,但不支持用户提供的USB令牌。部分CA的代码签名证书支持用户自己购买的符合规定的USB令牌。

2. 硬件安全模块HSM

用户可以使用自有的硬件安全模块来存储证书和私钥,但需要向CA机构证明使用的设备符合新规要求,即必须达到FIPS140-2 Level2、Common Criteria EAL4级以上或者更高标准,且支持密钥长度达到或超过3072位的RSA或256位的ECC加密算法。

3. 代码签名服务和应用程序

用户不需要任何物理设备或硬件令牌,只需要将代码签名证书存储在安全应用程序上,用户通过云端方式对代码进行数字签名等,所有代码签名操作流程都被日志记录并归档管控,方便审核、跟踪签名活动。此方案成本低,安全性高,可以满足绝大部分企业,尤其是拥有异地研发团队企业的代码签名需求。

最后,请使用OV代码签名证书的用户注意了,部分CA将从10月底开始停止签发“软证书”,执行使用硬件设备存储代码签名证书和私钥了。

关于代码签名证书更多消息,请搜索锐成官网关注最新资讯。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!