SSL 证书
数字证书
安全运维
域名
企业服务
SSL 证书
数字证书
安全运维
域名
企业服务
博客 > 最新公告:11月15日起,OV代码签名证书私钥需硬件存储!
浏览量:5380次评论:0次
作者:Icey时间:2022-09-15 12:35:24
根据CA/B论坛最新标准要求,从2022年11月15日起,OV代码签名证书私钥必须存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件中(包括USB令牌、硬件安全模块HSM等),与EV代码签名证书私钥保护机制一样,以便加强代码签名证书私钥的保护。
由于存储介质不同,数字证书可分为“软证书”和“硬证书”。“软证书”,即以电子文档的形式,将证书存放在网络上;“硬证书”,则是通过硬件安全介质,存放私钥。
OV代码签名证书就属于“软证书”,因为该证书是密钥对在软件中生成,CA签发机构用邮件方式将电子文档形式的证书交付给用户。此外,用户一般将私钥存储在电脑上,私钥极易导出并共享给他人,这就很容易引发私钥泄露。
但是,从11月15日起,所有新签发的OV代码签名证书和私钥都将存储在硬件安全模块中,且不支持导出私钥,CA机构通过邮寄的方式将存储有证书和私钥的硬件交付给用户。无疑,这将有助于最大限度地降低私钥泄露的可能性。所以,新规执行开始,OV代码签名证书将从“软证书”变为”硬证书”。
(CAB论坛 Ballot CSC-13截图)
注意:部分CA机构可能将提前实施更改,如Sectigo OV代码签名证书将在10月30日开始执行新规,请关注锐成云资讯了解最新代码签名证书信息。
1. USB 令牌
USB安全令牌通常是分配给组织内各个用户的小型便捷设备,是存储代码签名证书最常用的一种方式。一般而言,CA机构提供特定的USB令牌存储证书和私钥,比如Sectigo CA,但不支持用户提供的USB令牌。部分CA的代码签名证书支持用户自己购买的符合规定的USB令牌。
2. 硬件安全模块HSM
用户可以使用自有的硬件安全模块来存储证书和私钥,但需要向CA机构证明使用的设备符合新规要求,即必须达到FIPS140-2 Level2、Common Criteria EAL4级以上或者更高标准,且支持密钥长度达到或超过3072位的RSA或256位的ECC加密算法。
3. 代码签名服务和应用程序
用户不需要任何物理设备或硬件令牌,只需要将代码签名证书存储在安全应用程序上,用户通过云端方式对代码进行数字签名等,所有代码签名操作流程都被日志记录并归档管控,方便审核、跟踪签名活动。此方案成本低,安全性高,可以满足绝大部分企业,尤其是拥有异地研发团队企业的代码签名需求。
最后,请使用OV代码签名证书的用户注意了,部分CA将从10月底开始停止签发“软证书”,执行使用硬件设备存储代码签名证书和私钥了
相关文章推荐
2025-01-17 13:56:38
2025-01-16 15:17:24
2025-01-08 14:51:55
2025-01-03 14:21:41
2024-12-27 15:01:42
热门工具
标签选择
阅读排行
官方咨询热线:400-002-9968
官方邮箱:business@racent.com
地址:上海市普陀区真南路1199弄智创Top8号楼602A单元
商务合作:business@racent.com
投诉意见:media@racent.com
代理域名注册服务机构:西部数码 | 国外域名合作:TUCOWS
我的评论
还未登录?点击登录