OV代码签名证书和密钥生成方法正在进行全面改革。证书私钥必须存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件中(包括USB令牌、硬件安全模块HSM等),其过程类似于目前颁发EV代码签名证书的方式,探索这一变化对你的组织意味着什么呢?
网络犯罪分子利用一些被盗的证书来签署他们的恶意软件,为了防止类似的攻击,CA/B论坛已经投票决定对代码签名证书的签发和安装过程做出一些安全方面的改进
从11月15日开始,新购买的和重新颁发的组织验证(OV)代码签名证书将必须由颁发证书的机构(CA)颁发或存储在预先配置的安全硬件上。这类安全硬件是指包括符合FIPS 140-2级别、通用标准EAL 4+(或同等)的设备或签署解决方案,如:
硬件安全模块(HSM),无论是云还是物理设备
物理安全令牌,如USB硬件设备 ,usb token
密钥存储和签名服务
注:FIPS是指美国信息处理标准(FIPS)
实际上,这意味着所有代码签名证书的交付方式将类似于今天的EV代码签名证书,通过USB设备交付给客户,所以后续你申请OV代码签名证书的时候,你将不再需要自己生成证书签名请求(CSR),因为所有这些技术性的东西都将在CA的负责处理。
为什么要做这些改革呢?
这些变化在CA/浏览器论坛(CA/B Forum)发布和管理代码签名的基线要求(BR)(2.8版)中有所描述。它是通过投票CSC-13-更新用户密钥保护要求而更新的,该要求适用于上一版本的基线要求(2.7版)。这里的想法是使证书的私钥与扩展验证(EV)代码签名证书一样安全
为了实现这一目标,这意味着需要安全地存储密钥,以防止它们落入其他未经授权的用户手中。根据代码签名证书BR(2.8版)第16.3.1条用户私钥保护规定。
"CA必须从订户处获得一份合同声明,即订户将使用以下选项之一,在硬件加密模块中生成和保护他们的代码签名证书私钥,其单元设计外形经认证至少符合FIPS 140-2级别或通用标准EAL 4+"
什么时候开始实施
这一变化将于2022年11月15日星期二,但是需要注意的是,一些证书颁发机构(如DigiCert、Sectigo等)可能会选择提前实施这一变化,以确保在CA/B论坛的正式截止日期前有时间解决任何问题,
对于现有的OV代码签名证书有影响吗?
对于有效期内的OV代码签名证书,如果你不打算在11月15日之后进行重签发的操作, 不会有没有任何影响,现有的证书可以继续按目前的方式使用,受到影响的是任何在11月15日后购买新的OV代码签名证书的用户。也包括影响到目前的OV代码签名证书持有者重新发行或更新他们现有的证书
对于目前在有效期内的OV代码签名证书用户,这一改变不会对你产生影响,你仍然可以像以前一样继续签署你的软件和其他可执行文件
- 上一篇: SSL证书使用DNS验证域名
- 下一篇: 什么是HTTPS证书?如何实现HTTP安全加密
