hero-faq-1
ما الفرق بين توقيع الأكواد البرمجية وشهادات SSL؟

تقوم شهادات SSL بتأمين الاتصالات بين العميل (المتصفح) والخادم (موقع الويب) عن طريق تشفير البيانات المرسلة، بينما تقوم شهادات توقيع الكود بتوقيع البرامج والنصوص رقميًا للتحقق من صحتها وسلامتها.

نسخ الرابط

كيفية اجتياز المصادقة الموسعة لشهادات توقيع أكواد Sectigo/Comodo؟

فيما يلي متطلبات الحصول على شهادة توقيع الرمز الموسع للتحقق من الصحة (EV) من Sectigo/Comodo:

  1. نماذج التسجيل: أكمل نماذج الطلبات اللازمة للحصول على الشهادة.
  2. توثيق المنظمة: إثبات شرعية المنظمة ككيان تجاري حقيقي.
  3. الوجود التشغيلي: ثلاث سنوات على الأقل من التشغيل النشط والتسجيل.
  4. العنوان الفعلي: تقديم عنوان عمل فعلي صالح للتحقق منه.
  5. التحقق من الهاتف: إثبات رقم اتصال المنظمة من خلال قواعد البيانات الحكومية أو قواعد بيانات الطرف الثالث.
  6. مكالمة التحقق النهائي: تلقي مكالمة من المرجع المصدق (CA) للتحقق من صحة تفاصيل المؤسسة وموثوقيتها.

للحصول على شرح متعمق لكل خطوة، راجع دليلنا حول التحقق الموسع لشهادات Sectigo/Comodo.

نسخ الرابط

كيف يمكن اجتياز التحقق من صحة المؤسسة لشهادات Sectigo/Comodo لتوقيع الأكواد؟

يتطلب اجتياز التحقق من صحة المنظمة (OV) لشهادة توقيع الرمز الصادرة عن Sectigo ما يلي:

  • توثيق الهوية
  • مصادقة المنظمة
  • التواجد المحلي
  • التحقق عبر الهاتف
  • مكالمة التحقق النهائي

لإكمال كل خطوة، اتبع دليلنا حول كيفية التحقق من صحة شهادة Sectigo OV Code Signing.

نسخ الرابط

إلغاء شهادات توقيع الرموز المشفرة

إبطال الشهادة هو عملية إبطال شهادة توقيع الرمز قبل تاريخ انتهاء صلاحيتها المقرر. من أفضل الممارسات المتعارف عليها في صناعة البرمجيات إبطال أي شهادة توقيع على التعليمات البرمجية مرتبطة بخرق أمني، حيث من المحتمل أن تحتوي تلك الشهادة على تعليمات برمجية مخترقة.


بيان ممارسات الشهادات الخاص بشركة Sectigo
واتفاقية الترخيص تتطلب من الشركة إلغاء أي شهادة قد تُستخدم على حد علمها في أنشطة غير قانونية أو غير شريفة.

نظرًا لأن الشهادة نفسها يمكن استخدامها لأغراض صحيحة وخاطئة على حد سواء، تعتمد Sectigo على أطراف ثالثة موثوقة لتقديم معلومات صحيحة حول شهادات Sectigo المستخدمة في البرمجيات الخبيثة.

قد تلغي Sectigo شهادة توقيع الكود في الحالات التالية:

  • مجرم إلكتروني يسرق أو يغيّر شهادة توقيع رمز سارية المفعول
  • يستخدم المتعاقد أو الموظف شهادة صالحة لأغراض خادعة دون علم الشركة.
  • إصابة كود الشركة أو موقعها الإلكتروني أو برامجها ببرمجيات خبيثة أو هجمات إلكترونية أخرى.

وبصفتها سلطة شهادة، لا يمكن لشركة Sectigo الاعتماد على الإبلاغ الذاتي عن الإيجابيات الخاطئة من قبل مالكي شهادات توقيع الرموز لأنهم قد لا يعرفون أن شهاداتهم أو سلعهم الرقمية مخترقة.

المصدر: قاعدة معارف سيكتجو

نسخ الرابط

ما هي شهادة توقيع الرمز؟

شهادة توقيع الكود هي ملف رقمي يتحقق من صحة وسلامة البرنامج من خلال توقيعه رقمياً، مما يضمن عدم التلاعب به وأنه صادر من مصدر موثوق. إليك كيفية عمل شهادة توقيع الكود.

نسخ الرابط

شهادات توقيع الأكواد: متطلبات خط الأساس لطول المفتاح

اعتبارًا من 1 يونيو 2021، وامتثالاً لـ
متطلبات خط الأساس لتوقيع الرموز البرمجية لمنتدى المتصفحات/المستعرضين
، سيتطلب Sectigo أن يكون حجم مفاتيح RSA 3072 بت كحد أدنى.

عند إنشاء المفاتيح وملفات CSR لشهادات التوقيع بالرمز، يُرجى التأكد من اختيار مفتاح RSA بحجم مفتاح 3072- أو 4096 بت.

يجب تغيير حجم المفاتيح فقط، وتبقى بقية العملية كما هي. ستستمر شهادات RSA 2048 بت الحالية في العمل ولن تكون هناك حاجة إلى إجراء أي تغييرات عليها.

لا تتأثر الشهادات المطلوبة بمفاتيح المنحنى الإهليلجي (ECC) ولن تتأثر الشهادات المطلوبة بمفاتيح المنحنى الإهليلجي (ECC) وسيستمر Sectigo في توقيع الشهادات باستخدام منحنيات NIST P-256 و P-384.

المصدر: قاعدة معارف سيكتجو

نسخ الرابط

كيف يمكن إعادة إصدار شهادة توقيع رمز Sectigo/Comodo؟

فيما يلي الخطوات التي يتعين عليك القيام بها لإعادة إصدار شهادة Sectigo/Comodo Code Signing الخاصة بك:

1) قم بتسجيل الدخول على https://secure.trust-provider.com/products/frontpage?area=ssl باستخدام اسم المستخدم وكلمة المرور اللذين استخدمتهما عند تهيئة شهادة Sectigo/Comodo Code Signing في البداية;
2) بمجرد تسجيل الدخول، ابحث عن زر “استبدال” وانقر عليه;
3) ستبدأ عملية إعادة إصدار شهادة Sectigo/Comodo Code Signing الخاصة بك.
4) اتبع الخطوات والإرشادات التي تأتي بعد ذلك، حتى تكمل إعادة إصدار شهادة Sectigo Code Signing.

نسخ الرابط

كيف يمكنني العثور على المفتاح الخاص لشهادة توقيع الكود الخاص بي؟

ابتداءً من 1 يونيو 2023، تفرض معايير الصناعة تخزين المفاتيح الخاصة لشهادة توقيع الكود على أجهزة معتمدة من المستوى 2 من معايير FIPS 140، والمعايير المشتركة EAL 4+. يعمل هذا التغيير على تعزيز الأمان، بما يتماشى مع معايير توقيع كود EV. لم يعد بإمكان المراجع المصدقة دعم إنشاء المفاتيح المستندة إلى المتصفح أو عمليات التثبيت على الكمبيوتر المحمول/الخادم. يجب أن تكون المفاتيح الخاصة على رموز معتمدة من FIPS 140-2 من المستوى 2 أو الرموز/الأجهزة الأمنية الخاصة المعتمدة من FIPS 140-2 أو المعايير المشتركة EAL 4+. لتوقيع الرمز البرمجي، قم بالوصول إلى الرمز المميز/إدارة الأمن والسلامة واستخدم بيانات اعتماد الشهادة المخزنة.

تماشياً مع الإرشادات الجديدة، يجب أن يكون مفتاحك الخاص على الرمز المميز الذي يشحنه المرجع المصدق (CA) أو على وحدة أمان الأجهزة.

نسخ الرابط

لقد أضفتُ هاتفي إلى قائمة DUNS الخاصة بي، ولم يتم التحقق من صحته بعد. Why?

قد تطلب منك بعض السلطات المصدقة (خاصةً Sectigo وDigiCert) تحديث أو إضافة رقم هاتفك إلى قائمة الخاصة بشركتك DUNS، كجزء من عملية التحقق من صحة الأعمال أو عملية التحقق الموسعة.

بعد أن تتصل ب Dun & Bradstreet وتضيف رقم هاتفك إلى   الخاص بشركتك قائمة DUNS، قد يستغرق الأمر ما بين 5 و40 يومًا حتى Dun & Bradstreet جعل تحديث قائمة DUNS الخاصة بك متاحًا للجمهور. عندما تتحدث إلى Dun & Bradstreet عبر الهاتف، قد يخبرك أنهم أضافوا أو حدّثوا رقم هاتفك. ومع ذلك، فقد بدأوا العملية فقط. سيظهر رقم هاتفك على الموقع الإلكتروني Dun & Bradstreet(https://www.dandb.com/) في غضون 5 إلى 40 يوماً بعد ذلك.

 ستعرف أن قائمة DUNS الخاصة بك قد تم تحديثها بالفعل، فقط عندما تحصل على رسالة بريد إلكتروني من Dun & Bradstreet تفيد بأن ملفك الشخصي في DUNS قد تم تحديثه بنجاح. سيبدأ رقم هاتفك في الظهور على قائمة DUNS الخاصة بك فقط بعد أن تتلقى هذه الرسالة الإلكترونية منهم. أيضًا، يمكن لسلطات الشهادات (مثل Sectigo و DigiCert) التحقق من رقم هاتفك استنادًا إلى قائمة DUNS الخاصة بك فقط عندما يكون رقم هاتفك متاحًا للعامة. لهذا السبب يجب عليك أو علينا الاتصال بالجهة المصدِّقة لنطلب منهم التحقق من قائمة DUNS الخاصة بك فقط بعد حصولك على هذا التأكيد عبر البريد الإلكتروني.

في الماضي، طلبنا من ممثلي قسم التحقق من صحة البيانات من Sectigo وDigiCert الاتصال بـ Dun & Bradstreet مباشرة، والتحقق من رقم هاتف العميل لدى Dun & Bradstreet. لقد فعلنا ذلك بعد أن أخبرنا عملاؤنا أنهم أضافوا أو حدّثوا رقم هاتفهم على قائمة DUNS الخاصة بهم. في كل مرة، أخبر ممثلو شركة Dun & Bradstreet شركتي Sectigo وDigiCert أن عملاءنا إن تحديث قائمة DUNS “قيد التنفيذ” و”لم يكتمل بعد”، ونُصحنا بالرجوع إلى Dun & Bradstreet عندما يتلقى العملاء رسالة بالبريد الإلكتروني من Dun & Bradstreet تؤكد لهم أن DUNS تم تحديث القائمة.

إذا كان الانتظار من 5 إلى 40 يوماً أكثر من اللازم، فننصحك باللجوء إلى طرق أخرى للتحقق من صحة أرقام شركتك وهاتفك، مثل تقديم خطاب قانوني مكتوب من كاتب عدل أو محامٍ أو محاسب قانوني معتمد. ستسمح لك هذه الطريقة باجتياز التحقق من صحة الأعمال أو التحقق الموسع في غضون يوم أو يومين.

نسخ الرابط