根据CA/B论坛最新标准要求,从2022年11月15日起,OV代码签名证书私钥必须存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件中(包括USB令牌、硬件安全模块HSM等),与EV代码签名证书私钥保护机制一样,以便加强代码签名证书私钥的保护。
为什么OV代码签名证书从“软证书”变为“硬证书”?
由于存储介质不同,数字证书可分为“软证书”和“硬证书”。“软证书”,即以电子文档的形式,将证书存放在网络上;“硬证书”,则是通过硬件安全介质,存放私钥。
OV代码签名证书就属于“软证书”,因为该证书是密钥对在软件中生成,CA签发机构用邮件方式将电子文档形式的证书交付给用户。此外,用户一般将私钥存储在电脑上,私钥极易导出并共享给他人,这就很容易引发私钥泄露。
但是,从11月15日起,所有新签发的OV代码签名证书和私钥都将存储在硬件安全模块中,且不支持导出私钥,CA机构通过邮寄的方式将存储有证书和私钥的硬件交付给用户。无疑,这将有助于最大限度地降低私钥泄露的可能性。所以,新规执行开始,OV代码签名证书将从“软证书”变为”硬证书”。
(CAB论坛 Ballot CSC-13截图)
代码签名证书新规对你有什么影响?
- 如果是11月15日之前颁发的OV代码签名证书,用户可以继续正常使用,不受此新规影响。因此,有需要“软证书”的软件开发者请抓紧在新规执行时间之前签发。
- 当用户在11月15日之后重签、续费、新购OV代码签名证书时,则需要遵守新规,选择符合存储私钥的硬件类型,以便安全获取存储最新代码签名证书和私钥。
注意:部分CA机构可能将提前实施更改,如Sectigo OV代码签名证书将在10月30日开始执行新规,请关注瑞杰信了解最新代码签名证书信息。
哪些方式可用于存储证书和私钥?
1. USB 令牌
USB安全令牌通常是分配给组织内各个用户的小型便捷设备,是存储代码签名证书最常用的一种方式。一般而言,CA机构提供特定的USB令牌存储证书和私钥,比如Sectigo CA,但不支持用户提供的USB令牌。部分CA的代码签名证书支持用户自己购买的符合规定的USB令牌。
2. 硬件安全模块HSM
用户可以使用自有的硬件安全模块来存储证书和私钥,但需要向CA机构证明使用的设备符合新规要求,即必须达到FIPS140-2 Level2、Common Criteria EAL4级以上或者更高标准,且支持密钥长度达到或超过3072位的RSA或256位的ECC加密算法。
3. 代码签名服务和应用程序
用户不需要任何物理设备或硬件令牌,只需要将代码签名证书存储在安全应用程序上,用户通过云端方式对代码进行数字签名等,所有代码签名操作流程都被日志记录并归档管控,方便审核、跟踪签名活动。此方案成本低,安全性高,可以满足绝大部分企业,尤其是拥有异地研发团队企业的代码签名需求。
最后,请使用OV代码签名证书的用户注意了,部分CA将从10月底开始停止签发“软证书”,执行使用硬件设备存储代码签名证书和私钥了
浙ICP备18031827号-5
浙公网安备 33011302000430号
