关于code:软件开发者请注意2022年11月15日起代码签名证书私钥要求将变更

近日，CA/B论坛对代码签名证书私钥做出了变更要求：证书密钥对必须在达到FIPS 140-2 Level 2 或EAL4+通用规范以及更高标准的硬件加密模块中生成并存储。此次变更旨在加强爱护代码签名证书私钥。

本次代码签名基线要求（CSBR）解决了EV代码签名和OV代码签名证书的颁发问题。在此之前，CA/B论坛对EV代码签名和OV代码签名证书有不同的私钥爱护要求。例如，EV代码签名证书是存储在Ukey中寄送到用户手中，而非EV代码签名（即OV代码签名）的密钥对能够在软件中生成，这就很容易导致私钥被散发，从而减少了私钥泄露的潜在危险。

代码签名证书私钥变更要求

从 2022 年 11 月 15 日起，代码签名证书密钥对必须在达到FIPS 140-2 Level 2 或EAL4+通用规范以及更高标准的硬件加密模块中生成并存储。这就意味着不管OV代码签名还是EV代码签名证书，他们的密钥对都需在一个硬件设施中生成，且不反对导出私钥。无疑，这将有助于最大限度地升高私钥泄露的可能性。

（CAB论坛 Ballot CSC-13截图）

因为代码签名证书跟软件开发者关系较大，所以软件开发商、散发商等相干人士能够提前理解这个资讯。