最新消息：11月15日起，OV 代码签名证书私钥需硬件存储！

根据CA/B论坛最新标准要求，从2022年11月15日起，OV代码签名证书私钥必须存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件中（包括USB令牌、硬件安全模块HSM等），与EV代码签名证书私钥保护机制一样，以便加强代码签名证书私钥的保护。

为什么OV代码签名证书从“软证书”变为“硬证书”？

由于存储介质不同，数字证书可分为“软证书”和“硬证书”。“软证书”，即以电子文档的形式，将证书存放在网络上；“硬证书”，则是通过硬件安全介质，存放私钥。

OV代码签名证书就属于“软证书”，因为该证书的密钥对在软件中生成，CA签发机构用邮件方式将电子文档形式的证书交付给用户。此外，用户一般将私钥存储在电脑上，私钥极易导出并共享给他人，这就很容易引发私钥泄露。

但是，从11月15日起，所有新签发的OV代码签名证书和私钥都将存储在硬件安全模块中，且不支持导出私钥，CA机构通过邮寄的方式将存储有证书和私钥的硬件交付给用户。无疑，这将有助于最大限度地降低私钥泄露的可能性。所以，新规执行开始，OV代码签名证书将从“软证书”变为”硬证书”。

代码签名证书新规对你有什么影响？

• 如果是11月15日之前颁发的OV代码签名证书，用户可以继续正常使用，不受此- 新规影响。因此，有需要“软证书”的软件开发者请抓紧在新规执行时间之前签发。

• 当用户在11月15日之后重签、续费、新购OV代码签名证书时，则需要遵守新规，选择符合存储私钥的硬件类型，以便安全获取存储最新代码签名证书和私钥。

注意：部分CA机构可能将提前实施更改，如Sectigo OV代码签名证书将在10月30日开始执行新规，请关注锐成云资讯了解最新代码签名证书信息。

哪些方式可用于存储证书和私钥？

1. USB 令牌

USB安全令牌通常是分配给组织内各个用户的小型便捷设备，是存储代码签名证书最常用的一种方式。一般而言，CA机构提供特定的USB令牌存储证书和私钥，比如Sectigo CA，但不支持用户提供的USB令牌。部分CA的代码签名证书支持用户自己购买的符合规定的USB令牌。

2. 硬件安全模块HSM

用户可以使用自有的硬件安全模块来存储证书和私钥，但需要向CA机构证明使用的设备符合新规要求，即必须达到FIPS140-2 Level2、Common Criteria EAL4级以上或者更高标准，且支持密钥长度达到或超过3072位的RSA或256位的ECC加密算法。

3. 代码签名服务和应用程序

用户不需要任何物理设备或硬件令牌，只需要将代码签名证书存储在安全应用程序上，用户通过云端方式对代码进行数字签名等，所有代码签名操作流程都被日志记录并归档管控，方便审核、跟踪签名活动。此方案成本低，安全性高，可以满足绝大部分企业，尤其是拥有异地研发团队企业的代码签名需求。

最后，请使用OV代码签名证书的用户注意了，部分CA将从10月底开始停止签发“软证书”，执行使用硬件设备存储代码签名证书和私钥了。

关于代码签名证书更多消息，请搜索锐成官网关注最新资讯。