OV Code Signing-Zertifikate sind für Softwareentwickler das, was SSL-Zertifikate für eine Website sind. Ohne sie bleibt der Herausgeber unbekannt, und der Code ist sehr anfällig für Cyberangriffe. Wie bei jedem PKI-Produkt ist der Schutz von Code-Signierschlüsseln unerlässlich. Aber genau wie bei normalen SSL-Zertifikaten geraten die Schlüssel manchmal in die falschen Hände und bringen jede Menge Ärger mit sich.
Fragen Sie einfach Nvidia, das renommierte Technologieunternehmen, dem vor kurzem nicht nur ein, sondern gleich zwei zwei seiner OV Code Signing-Zertifikate gestohlen wurden. Die Hacker der berüchtigten Lapsus$-Gruppe nutzten die kompromittierten Zertifikate, um ihre Schadsoftware zu signieren und sie so aussehen zu lassen, als käme sie von Nvidia selbst.
Angriffe dieses Ausmaßes sind zwar ungewöhnlich, können aber erhebliche Sicherheits- und Reputationsschäden verursachen. Die Lektion, die wir aus dieser jüngsten Sicherheitsverletzung gelernt haben, ist einfach: Speichern Sie keine Code-Signatur-Zertifikate und Schlüssel auf Ihrem Server!
Das CA/Browser-Forum reagierte schnell und änderte die Ausstellung und Installation von Code-Signing-Zertifikaten, indem es beschloss, sie ab dem 15. November auf speziellen physischen Sicherheits-Hardwaregeräten auszustellen.
Änderungen beim Code Signing – der Überblick
Die Änderung selbst ist nicht bahnbrechend, da die Zertifizierungsstellen die Extended Validation Code Signing-Zertifikate bereits auf USB-Geräten oder Hardware-Sicherheitsmodulen (HSM) an Kunden ausliefern. In Kürze wird das gleiche Verfahren für Code-Signatur-Zertifikate mit Organisationsvalidierung und Einzelvalidierung gelten.
Technisch gesehen umfasst die sichere Hardware FIPS-konforme (Federal Information Processing Standards) Geräte wie FIPS 140-2 Level 2, Common Criteria EAL 4+ oder Signierlösungen (als Minimum) wie:
- Hardware-Sicherheitsmodule (HSMs), (Cloud oder physische Geräte)
- Sicherheits-Token wie physische USB-Hardware-Tools
- Schlüsselspeicherung und Signierdienste
In der Praxis müssen Sie die Zertifikatsanforderung nicht mehr selbst erstellen, da sich die Zertifizierungsstelle um alle technischen Aspekte kümmert.
Der Grund für die Überarbeitung der Codesignatur
Die meisten Änderungen und Verbesserungen des CA/Browser-Forums sind auf neu auftretende Sicherheitsfragen zurückzuführen, die nicht länger vernachlässigt werden können. Dieser Fall ist keine Ausnahme. Nach einigen öffentlichkeitswirksamen Debakeln hat das CA/B-Forum die Sicherheitsstandards für das Code Signing in der Grundlegende Anforderungen (BR) für die Erteilung und Verwaltung von Code Signing (Version 2.8), aktualisiert über Ballot CSC-13 – Aktualisierung der Anforderungen an den Schutz von Teilnehmerschlüsseln.
Folglich werden alle Code Signing-Zertifikate, unabhängig von der Validierungsmethode, auf sicheren Hardware-Geräten ausgeliefert. Da die Zertifizierungsstellen bereits physische Geräte verwenden, um EV-Code Signing-Zertifikate auszustellen, sollten die Änderungen reibungslos und unkompliziert sein.
Die bevorstehenden Änderungen werden in Abschnitt 16.3.1 Subscriber Private Key Protection des Code Signing Certificates BR (Version 2.8) bestätigt. Hier ist der Wortlaut:
“Die CA MUSS vom Abonnenten eine vertragliche Zusicherung einholen, dass der Abonnent eine der folgenden Optionen verwendet, um seine privaten Schlüssel für Code Signing-Zertifikate in einem Hardware-Kryptomodul mit einem Formfaktor zu generieren und zu schützen, der als mindestens FIPS 140-2 Level 2 oder Common Criteria EAL 4+ konform zertifiziert ist.”
Wie sollte ich mich vorbereiten?
Offiziell wird die Anpassung am Dienstag, den 15. November 2022, um 12 Uhr erfolgen. a.m Koordinierte Weltzeit (UTC). Sie können eine Zeitzonen-Konverter um Ihre Ortszeit zu bestimmen. Wie so oft werden jedoch einige Zertifizierungsstellen wie Sectigo und Digicert die Änderungen vorzeitig einführen, um mögliche Probleme vor dem offiziellen Stichtag zu lösen. Bisher haben wir von den zuständigen Behörden noch keine Informationen zu diesem Thema erhalten, wir werden Sie also auf dem Laufenden halten.
Die neuen Anforderungen betreffen jeden, der nach dem Stichtag im November ein OV- oder IV-Codesignaturzertifikat erwirbt. Wenn Ihr Zertifikat nach Ablauf der Frist abläuft, müssen Sie es nach den neuen Vorschriften neu ausstellen.
Bestehende Code Signing-Zertifikate, die vor dem 15. November ausgestellt wurden, funktionieren wie vorgesehen. Sie können Ihre Software weiterhin wie bisher signieren. Nach den Änderungen müssen die Antragsteller, die den Code signieren, bestätigen, dass sie ihre Schlüssel in einer der folgenden Optionen speichern werden:
- Ein HSM- oder USB-Sicherheitstoken
- Eine Cloud-basierte Lösung zur Erzeugung und zum Schutz von Schlüsseln
- Ein Signierdienst, der die in den CA/B Forum Baseline Requirements beschriebenen Anforderungen erfüllt
Abschließende Überlegungen
Die Zertifizierungsstellen müssen noch alle Einzelheiten für die Ausstellung der Code Signing-Zertifikate nach der Einführung im November klären. Wir erwarten ein rationalisiertes Kaufverfahren, ähnlich wie bei den EV Code Signing-Zertifikaten. Die Zertifizierungsstellen stellen auch die Sicherheits-Token für Ihren privaten Schlüssel zur Verfügung, aber Sie haben auch die Möglichkeit, Ihren eigenen Schlüssel zu verwenden, wenn er alle Compliance-Anforderungen erfüllt.
System administrator vector erstellt von macrovector – www.freepik.com
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10
