شهادات توقيع رمز OV التي سيتم إصدارها على الأجهزة الحقيقية

شهادات توقيع رمز OV هي بالنسبة لمطوري البرامج مثل شهادات SSL بالنسبة للموقع الإلكتروني. بدونها، يظل الناشر غير معروف، في حين أن الشيفرة البرمجية معرضة بشكل كبير للهجمات الإلكترونية. كما هو الحال مع أي منتج من منتجات PKI، فإن حماية مفاتيح توقيع الرمز أمر ضروري. ولكن كما هو الحال مع شهادات SSL العادية، تقع المفاتيح في بعض الأحيان في الأيدي الخطأ وتسبب كل أنواع المشاكل.

فقط اسأل شركة Nvidia، شركة التكنولوجيا الشهيرة التي لم تشهد مؤخرًا سرقة واحدة بل اثنتين من شهادات توقيع كود OV الخاصة بها مسروقتين. وقد استخدم القراصنة من مجموعة Lapsus$ سيئة السمعة الشهادات المخترقة لتوقيع برمجياتهم الخبيثة وجعلها تبدو وكأنها صادرة من Nvidia نفسها.

على الرغم من أن الهجمات بهذا الحجم غير شائعة، إلا أن أضرارها الأمنية والسمعة قد تكون كبيرة. إن الدرس المستفاد من هذا الاختراق الأخير بسيط: لا تخزن شهادات ومفاتيح توقيع الرموز على الخادم الخاص بك!

استجاب منتدى CA/المتصفح بسرعة وقام بتعديل إصدار شهادات توقيع الكود وتثبيتها من خلال التصويت على إصدارها على أجهزة أمان مادية خاصة بدءًا من 15 نوفمبر.

تغييرات توقيع الرمز – نظرة عامة

لا يعد التغيير في حد ذاته تغييراً غير مسبوق حيث أن المراجع المصدقة (CAs) تقدم بالفعل شهادات توقيع رمز التحقق الموسع للعملاء على أجهزة USB أو وحدات أمان الأجهزة (HSM). وقريباً، سيتم تطبيق نفس الإجراء على شهادات توقيع رمز التحقق من صحة المؤسسة والتحقق من صحة الأفراد.

من الناحية الفنية، ستشمل الأجهزة الآمنة أجهزة متوافقة مع معايير معالجة المعلومات الفيدرالية (FIPS) مثل FIPS 140-2 المستوى 2، أو المعايير المشتركة EAL 4+، أو حلول التوقيع (كحد أدنى) مثل

  • وحدات أمان الأجهزة (HSMs)، (الأجهزة السحابية أو المادية)
  • الرموز الأمنية مثل أدوات أجهزة USB المادية
  • خدمات تخزين وتوقيع المفاتيح

من الناحية العملية، لن تضطر بعد الآن إلى إنشاء طلب توقيع الشهادة لأن المرجع المصدق (CA) سيهتم بكل الجانب التقني.

السبب وراء الإصلاح الشامل لتوقيع الكود

معظم التغييرات والتحسينات في منتدى CA/المتصفح مدفوعة بالقضايا الأمنية الناشئة التي لم يعد من الممكن إهمالها. هذه الحالة بالذات ليست استثناءً. بعد بعض المشاكل البارزة، حدد منتدى CA/B معايير أمان توقيع الرموز البرمجية في متطلبات خط الأساس (BR) لإصدار وإدارة توقيع الكودات البرمجية (الإصدار 2.8)، تم تحديثه عبر الاقتراع CSC-13 – تحديث لمتطلبات حماية مفاتيح المشتركين الرئيسية.

ونتيجة لذلك، سيتم شحن جميع شهادات توقيع الشيفرات البرمجية، بغض النظر عن طريقة التحقق من الصحة، على أجهزة آمنة. ونظرًا لأن المراجع المصدقة (CAs) تستخدم بالفعل أجهزة فعلية لتقديم شهادات توقيع التعليمات البرمجية EV، يجب أن تكون التغييرات سلسة ومباشرة.

تم التأكيد على التغييرات القادمة في القسم 16.3.1 حماية المفتاح الخاص للمشترك من شهادات توقيع الرمز BR (الإصدار 2.8). إليك ما ينص عليه:

“يجب أن يحصل المرجع المصدق (CA) على إقرار تعاقدي من المشترك بأن المشترك سيستخدم أحد الخيارات التالية لإنشاء وحماية المفاتيح الخاصة لشهادة توقيع الرمز الخاصة به في وحدة تشفير الأجهزة مع عامل تصميم وحدة معتمد على أنه مطابق للمستوى 2 من FIPS 140-2 أو المستوى 4+ من المعايير المشتركة EAL 4+ على الأقل.”

كيف يجب أن أستعد؟

رسميًا، سيحدث التعديل يوم الثلاثاء 15 نوفمبر 2022، في الساعة 12 ظهرًا. صباحاً بالتوقيت العالمي المنسق (UTC). يمكنك استخدام تحويل المنطقة الزمنية لتحديد توقيتك المحلي. ومع ذلك، وكما هو الحال في كثير من الأحيان، قد تبدأ بعض المراجع المصدقة مثل Sectigo وDegicert في طرح التغييرات قبل الموعد النهائي الرسمي لحل أي مشكلات محتملة. حتى الآن، لم نتلقَّ أي تحديثات من المراجعين القانونيين المعتمدين بشأن هذه المسألة، لذا سنبقيك على اطلاع دائم بالمستجدات.

ستؤثر المتطلبات الجديدة على أي شخص يشتري شهادة توقيع رمز OV أو IV بعد التاريخ المستهدف في نوفمبر. إذا انتهت صلاحية شهادتك بعد الموعد النهائي، فسيتعين عليك إعادة إصدارها وفقًا للقواعد الجديدة.

ستعمل شهادات توقيع الرموز الحالية التي تم إصدارها قبل 15 نوفمبر على النحو المنشود. يمكنك متابعة توقيع برنامجك كما كنت تفعل دائماً. بعد إجراء التغييرات، سيتعين على مقدمي طلبات توقيع الرمز التأكيد على أنهم سيخزنون مفاتيحهم في أحد الخيارات التالية:

  • رمز أمان HSM أو USB المميز
  • حل إنشاء المفاتيح والحماية القائم على السحابة
  • خدمة التوقيع التي تلبي المتطلبات الموضحة في المتطلبات الأساسية لمنتدى CA/B

الأفكار النهائية

لا يزال يتعين على المراجع المصدقة (CAs) تسوية جميع التفاصيل الخاصة بإصدار شهادات توقيع الرمز بعد طرحها في نوفمبر. نتوقع عملية شراء مبسطة مشابهة لكيفية الحصول على شهادات توقيع رمز EV. ستوفر المراجع المصدق (CAs) أيضًا رموز الأمان لمفتاحك الخاص، ولكن سيكون لديك أيضًا خيار استخدام الرموز المميزة الخاصة بك إذا كانت تفي بجميع متطلبات الامتثال.

ناقل مسؤول النظام تم إنشاؤه بواسطة macrovector – www.freepik.com

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.