根据CA/B论坛的最新标准要求,为加强代码签名证书私钥的保护,CA/B论坛对普通(OV)代码签名证书的私钥存储方式做出了变更要求。
从2023年6月1日起,证书密钥对必须在达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储,与EV代码签名证书的私钥保护机制保持一致。
01
变更详情内容有哪些?
变更前:对于普通代码签名证书,上海CA获取到用户的CSR后,对用户的CSR进行数字签名后生成证书,再通过邮件的方式将证书发送给用户,无需硬件介质。EV代码签名证书则需要安全硬件介质。
变更后:自2023年05月22日起,购买普通代码签名证书将和EV代码签名证书一样,证书由上海CA签发并存储在预配置的USB Key上,再通过邮寄的方式将USB Key寄送给用户。
02
哪些证书受到变更影响?
此次规则更新影响重新签发或续费的万维信代码签名证书,但不影响在05月22日前签发的代码签名证书。
03
硬件存储介质有哪些?
USB Key:上海CA要求使用特定的USB Key来存储代码签名证书和私钥,即支持4096位RSA的USB Key。
硬件安全模块HSM:用户可以使用自有的硬件安全硬件模块来存储证书和私钥,但需要向上海CA证明使用的设备符合要求,必须达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准,且支持密钥长度达到或超过3072位RSA加密算法。
关于代码签名证书
代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告,保证代码完整性和不被恶意篡改,使软件开发者信息对下载用户公开可见,从而建立良好的软件品牌信誉度。
01
提升软件下载、采用和发行率
开发商所发行的代码程序或内容若通过代码签名验证可提升软件的下载、采用率和发行率。
消除windows“不明发布者”
02
消除Internet Explorer以及Windows操作系统中弹出的「不明发布者」。
03
保护发行商的身份安全
防止使用者下载到含有恶意档案的代码程序及内容。确保终端用户知道该软件是合法的,且该代码自发行以来没有被篡改过。
防止用户下载有害文件
04
减少代码程序及内容出现错误讯息和安全性警告,建立品牌的信任关系。防止使用者下载到含有恶意档案的代码程序及内容。
标准代码签名证书只需要验证申请企业的基本信息、税务信息,验证成功后通过邮件等形式通常针对32/64位应用程序进行签名,防止各类杀毒软件的误报。需要较短的处理时间以及较低的成本、无法用于 LSA 和 UEFI 文件签名、无法用于内核模式驱动程序。
EV代码签名证书除了验证企业的基本信息、税务信息外,还对企业的经营地址、申请人身份进行审查,区别于标准代码签名的重要特点是支持Windows 10内核驱动文件签名和消除SmartScreen筛选器安全提醒,此外EV代码签名针对内核模式的驱动文件需要进行微软的交叉签名。
万维信EV增强型代码签名证书优势
EV代码签名证书以标准代码签名证书的已有功能为基础,额外提供更高级别的保证,以确保软件发行者的身份正确且已得到验证。
■ 更严格的审查流程:会验证有关开发者的更多信息,使恶意用户更难以冒充合法的开发者和获取伪造凭证。
■ 微软SmartScreen的即时声誉帮助开发者消除向最终用户发出的安全警告消息,更快地获得用户信任。
关于SHECA万维信
全球数字信任服务提供商
融合二十余年为政府、企事业单位和个人用户提供可靠证书服务的经验,上海 CA 在国产密码和自有品牌证书的研发道路上稳步前行、上下求索,打造了万维信 SSL 证书自有品牌,基于全生命周期自主管理、审核、签发能力提供国产品牌的全球信任证书。此外,我们还提供文档签名证书、邮件签名证书、代码签名证书以及证书全生命周期的管理服务。
—END—
内容来源:万维信返回搜狐,查看更多
责任编辑: