根据CA/B论坛最新私钥基线要求,自2023年6月1日起,新颁发的OV普通代码签名证书的密钥对必须生成并存储在满足或超过FIPS 140-2 Level 2或通用标准EAL4+要求的硬件加密模块中。为了遵守CA/B新规,Sectigo将过渡到基于硬件安全模块(HSM)的代码签名证书,调整后用户将不再能自行决定如何、在哪里存储私钥,Sectigo代码签名证书将安装在硬件安全模块上并安全地发送给客户。需特别注意的是,Sectigo将于2023年5月8日开始执行新规,比CA/B论坛截止日期早3周。
此次代码签名证书新规对用户的影响
1.此次新规只涉及OV代码签名证书,因为EV代码签名证书已经在硬件安全模块上颁发,从而统一了OV代码签名证书和EV代码签名证书在私钥保护方面的要求。
2.2023年5月8日前签发生效的Sectigo代码签名证书,用户可以继续正常使用,无需进行任何操作。
3.2023年5月8日起重签、续费、新购Sectigo代码签名证书,则需要遵守新规。
新规意味着什么?
变更前,OV代码签名证书的密钥对可在软件中生成,容易导致私钥分发,存在较高的私钥损害风险;变更后,OV代码签名证书和EV代码签名证书均需要安全硬件介质。通过强制硬件存储私钥的保护措施,防止私钥落入未经授权用户之手,最大化减少私钥损害的可能性,代码签名证书的安全性能得到更大提升。
用户可以使用自己的硬件或令牌吗?
虽然可以使用客户提供的硬件来提供代码签名证书,但是Sectigo的验证会要求硬件既具有特定功能,又能被Sectigo验证系统支持。
目前,受支持的硬件包括:
Thales/Safenet Luna和netHSM设备
Yubico FIPS Yubikeys(仅适用于ECC密钥)
随着越来越多的硬件和服务提供对密钥证明的支持,此名单将来可能会扩展。
代码签名证书的作用
代码签名允许软件开发人员向代码添加数字签名,并在他们的软件中包含有关他们自己和代码完整性的信息。下载经过数字签名的软件的最终用户可以确信代码来自经过验证的开发人员,并且自签名以来没有被更改或损坏。
1.消除“不明发布者”/“发布者未知”的不安全警告
2.提升软件的下载和使用率
3.标识开发者身份,保护开发者的身份安全
4.提升软件品牌形象,建立品牌信任关系
5.防软件篡改,确保代码完整性
锐成信息建议您查看代码证书的续订日期,以确认是否会受此更改影响。如果您对于新规变化、新规下的代码签名证书操作流程等方面仍有疑问,可咨询锐成信息(www.racent.com)。
Sectigo通知原文请见:https://sectigo.com/knowledge-base/detail/Changes-to-Sectigo-Code-Signing-Offerings/kA03l000000BoIs
(此新规原定于2022年11月生效,CA/B将截止日期推迟到了2023年6月1日,为受影响的各方留足准备时间。)