依据 CA/ B 论坛最新规范要求,从 2022 年 11 月 15 日起,OV 代码签名证书私钥必须存储在 FIPS140-2 Level2、Common Criteria EAL4 级以上或者等同认证级别的硬件中(包含 USB 令牌、硬件安全模块 HSM 等),与 EV 代码签名证书私钥爱护机制一样,以便增强代码签名证书私钥的爱护。
(CAB 论坛 Ballot CSC-13 截图)
代码签名证书新规对你有什么影响?
- 如果是 11 月 15 日之前颁发的 OV 代码签名证书,用户能够持续失常应用,不受此新规影响。因而,有须要 OV 代码签名证书的软件开发者请放松在新规执行工夫之前签发。
- 当用户在 11 月 15 日之后重签、续费、新购 OV 代码签名证书时,则须要恪守新规,抉择合乎存储私钥的硬件类型,以便平安获取存储最新代码签名证书和私钥。
留神:局部 CA 机构可能将提前施行更改,如 Sectigo OV 代码签名证书将在 10 月 30 日开始执行新规。
哪些形式可用于存储证书和私钥?
1. USB 令牌
USB 平安令牌通常是调配给组织内各个用户的小型便捷设施,是存储代码签名证书最罕用的一种形式。一般而言,CA 机构提供特定的 USB 令牌存储证书和私钥,比方 Sectigo CA,但不反对用户提供的 USB 令牌。局部 CA 的代码签名证书反对用户本人购买的符合规定的 USB 令牌。
2. 硬件安全模块 HSM
用户能够应用自有的硬件安全模块来存储证书和私钥,但须要向 CA 机构证实应用的设施合乎新规要求,即必须达到 FIPS140-2 Level2、Common Criteria EAL4 级以上或者更高标准,且反对密钥长度达到或超过 3072 位的 RSA 或 256 位的 ECC 加密算法。
3. 代码签名服务和应用程序
用户不须要任何物理设施或硬件令牌,只须要将代码签名证书存储在平安应用程序上,用户通过云端形式对代码进行数字签名等,所有代码签名操作流程都被日志记录并归档管控,不便审核、跟踪签名流动。此计划成本低,安全性高,能够满足绝大部分企业,尤其是领有异地研发团队企业的代码签名需要。
对于更多代码签名证书最新消息或证书申请应用等问题请搜寻锐成官网理解详情。