hero-faq-1

Code-Signierung

Wie besteht man die erweiterte Validierung für Sectigo/Comodo Code Signing-Zertifikate?

Hier sind die Anforderungen für den Erhalt eines Extended Validation (EV) Code Signing-Zertifikats von Sectigo/Comodo:

  1. Einschreibeformulare: Füllen Sie die erforderlichen Antragsformulare für das Zertifikat aus.
  2. Authentifizierung der Organisation: Beweisen Sie die Legitimität der Organisation als echte Geschäftseinheit.
  3. Operatives Bestehen: Mindestens drei Jahre aktiver Betrieb und Registrierung.
  4. Physische Adresse: Geben Sie eine gültige physische Geschäftsadresse zur Überprüfung an.
  5. Telefonische Verifizierung: Überprüfen Sie die Kontaktnummer der Organisation anhand von Datenbanken von Behörden oder Dritten.
  6. Letzter Verifizierungsanruf: Sie erhalten einen Anruf von der Zertifizierungsstelle, um die Unternehmensdaten und die Authentizität zu überprüfen.

Eine ausführliche Erklärung der einzelnen Schritte finden Sie in unserem Leitfaden zur erweiterten Validierung für Sectigo/Comodo-Zertifikate.

Link kopieren

Wie besteht man die Organisationsvalidierung für Sectigo/Comodo Code Signing-Zertifikate?

Das Bestehen der Organisationsvalidierung (OV) für ein von Sectigo ausgestelltes Code Signing-Zertifikat erfordert Folgendes:

  • Identitätsauthentifizierung
  • Authentifizierung der Organisation
  • Örtlichkeit Anwesenheit
  • Telefonische Verifizierung
  • Aufruf zur abschließenden Verifizierung

Folgen Sie unserer Anleitung zur Validierung eines Sectigo OV Code Signing-Zertifikats, um die einzelnen Schritte auszuführen.

Link kopieren

Widerruf von Code Signing-Zertifikaten

Der Widerruf eines Zertifikats ist der Vorgang, bei dem ein Code Signing-Zertifikat vor seinem geplanten Ablaufdatum ungültig gemacht wird. Es gehört zu den bewährten Praktiken der Softwarebranche, jedes Code Signing-Zertifikat zu widerrufen, das mit einer Sicherheitsverletzung in Verbindung gebracht wird, da dieses Zertifikat potenziell gefährdeten Code enthalten könnte.


Die Erklärung zu den Zertifizierungspraktiken von Sectigo
und die Lizenzvereinbarung sehen vor, dass das Unternehmen jedes Zertifikat widerruft, das nach seinem Wissen für illegale oder unehrliche Aktivitäten verwendet werden könnte.

Da ein und dasselbe Zertifikat sowohl für richtige als auch für falsche Zwecke verwendet werden kann, verlässt sich Sectigo auf glaubwürdige Dritte, um korrekte Informationen über die für Malware verwendeten Sectigo-Zertifikate bereitzustellen.

Sectigo kann das Code Signing-Zertifikat in den folgenden Fällen widerrufen:

  • Ein Cyberkrimineller stiehlt oder ändert ein gültiges Code Signing-Zertifikat
  • Ein Auftragnehmer oder Mitarbeiter verwendet ein gültiges Zertifikat ohne Wissen des Unternehmens zu betrügerischen Zwecken.
  • Der Code, die Website oder die Software des Unternehmens ist mit Malware oder anderen Cyberangriffen infiziert.

Als Zertifizierungsstelle kann sich Sectigo nicht darauf verlassen, dass die Inhaber von Code Signing-Zertifikaten selbst Falschmeldungen melden, da sie möglicherweise nicht wissen, dass ihre Zertifikate oder digitalen Güter kompromittiert sind.

Quelle: Sectigos Wissensdatenbank

Link kopieren

Was ist ein Code Signing-Zertifikat?

Ein Code-Signing-Zertifikat ist eine digitale Datei, die die Authentizität und Integrität von Software durch digitale Signierung überprüft und damit sicherstellt, dass sie nicht manipuliert wurde und aus einer vertrauenswürdigen Quelle stammt. So funktioniert ein Code Signing-Zertifikat.

Link kopieren

Code Signing-Zertifikate: Schlüssellänge: Grundlegende Anforderungen

Ab dem 1. Juni 2021 und in Übereinstimmung mit den
CA/Browser Forum Code-signing Baseline Requirements
verlangt Sectigo, dass RSA-Schlüssel eine Mindestgröße von 3072 Bit haben müssen.

Wenn Sie Schlüssel und CSRs für Code-Signatur-Zertifikate erzeugen, achten Sie bitte darauf, dass Sie einen RSA-Schlüssel mit einer Schlüsselgröße von 3072 oder 4096 Bit wählen.

Lediglich die Größe der Tasten soll sich ändern, der Rest des Prozesses bleibt gleich. Bestehende RSA-2048-Bit-Zertifikate funktionieren weiterhin, und es sind keine Änderungen an ihnen erforderlich.

Zertifikate, die mit ECC-Schlüsseln (elliptische Kurve) angefordert werden, sind davon nicht betroffen. Sectigo signiert weiterhin Zertifikate mit Schlüsseln, die die NIST-Kurven P-256 und P-384 verwenden.

Quelle: Sectigos Wissensdatenbank

Link kopieren

Wie kann ich ein Sectigo/Comodo Code Signing-Zertifikat neu ausstellen?

Hier sind die Schritte, die Sie durchführen müssen, um Ihr Sectigo/Comodo Code Signing-Zertifikat neu auszustellen:

1) Melden Sie sich unter https://secure.trust-provider.com/products/frontpage?area=ssl mit dem Benutzernamen und dem Passwort an, das Sie bei der ursprünglichen Konfiguration Ihres Sectigo/Comodo Code Signing-Zertifikats verwendet haben;
2) Sobald Sie eingeloggt sind, suchen Sie die Schaltfläche „Ersetzen“ und klicken Sie darauf;
3) Sie starten den Neuausstellungsprozess für Ihr Sectigo/Comodo Code Signing-Zertifikat.
4) Folgen Sie den nächsten Schritten und Anweisungen, bis Sie die Neuausstellung des Sectigo Code Signing-Zertifikats abgeschlossen haben.

Link kopieren

Wie finde ich den privaten Schlüssel für mein Code Signing-Zertifikat?

Ab dem 1. Juni 2023 schreiben die Industriestandards die Speicherung von privaten Schlüsseln für Code Signing-Zertifikate auf FIPS 140 Level 2, Common Criteria EAL 4+ zertifizierter Hardware vor. Diese Änderung erhöht die Sicherheit und entspricht den EV Code Signing Standards. Zertifizierungsstellen können keine browserbasierte Schlüsselgenerierung oder Laptop/Server-Installationen mehr unterstützen. Private Schlüssel müssen auf FIPS 140-2 Level 2 oder Common Criteria EAL 4+ zertifizierten Token/HSMs sein. Um den Code zu signieren, greifen Sie auf das Token/HSM zu und verwenden Sie die gespeicherten Zertifikatsnachweise.

In Übereinstimmung mit den neuen Richtlinien sollte sich Ihr privater Schlüssel auf dem von der Zertifizierungsstelle gelieferten Token oder auf Ihrem Hardware-Sicherheitsmodul befinden.

Link kopieren

Ich habe mein Telefon zu meinem DUNS-Verzeichnis hinzugefügt, aber immer noch keine Bestätigung erhalten. Warum?

 Einige Zertifizierungsstellen (insbesondere Sectigo und DigiCert) fordern Sie möglicherweise auf auf, Ihre Telefonnummer zu aktualisieren oder zum DUNS-Verzeichnis Ihres Unternehmens hinzuzufügen, als Teil Ihres Geschäfts- oder erweiterten Validierungsprozesses.

 Nachdem Sie sich mit Dun & Bradstreet in Verbindung gesetzt und Ihre Telefonnummer zu dem DUNS-Eintrag Ihres Unternehmens hinzugefügt haben, kann es zwischen 5 und 40 Tagen dauern, bis Dun & Bradstreet die Aktualisierung Ihres DUNS-Eintrags der Öffentlichkeit zugänglich macht. Wenn Sie mit Dun & Bradstreet telefonieren, wird man Ihnen möglicherweise sagen, dass Ihre Telefonnummer hinzugefügt oder aktualisiert wurde. Sie haben jedoch nur ein Verfahren eingeleitet. Ihre Telefonnummer wird in etwa 5 bis 40 Tagen auf der Website von Dun & Bradstreet(https://www.dandb.com/) erscheinen.

 Sie werden erst dann wissen, dass Ihr DUNS-Eintrag wirklich aktualisiert wurde, wenn Sie unter eine E-Mail-Nachricht von Dun & Bradstreet erhalten, die besagt, dass Ihr DUNS-Profil erfolgreich aktualisiert wurde. Ihre Telefonnummer wird erst dann in Ihrem DUNS-Eintrag erscheinen, wenn Sie diese E-Mail erhalten haben. Außerdem können Zertifizierungsstellen (wie Sectigo und DigiCert) Ihre Telefonnummer nur dann auf der Grundlage Ihres DUNS-Eintrags überprüfen, wenn Ihre Telefonnummer öffentlich zugänglich ist. Deshalb sollten Sie oder wir die Zertifizierungsstelle erst dann um eine Überprüfung Ihres DUNS-Eintrags bitten, wenn Sie die Bestätigung per E-Mail erhalten haben.

In der Vergangenheit haben wir die Vertreter der Validierungsabteilung von Sectigo und DigiCert gebeten, sich direkt an Dun & Bradstreet zu wenden und die Telefonnummer unseres Kunden bei Dun & Bradstreet zu überprüfen. Das haben wir getan, nachdem unsere Kunden uns mitgeteilt haben, dass sie ihre Telefonnummer in ihrem DUNS-Eintrag hinzugefügt oder aktualisiert haben: . Jedes Mal wurde Sectigo und DigiCert von den Vertretern von Dun & Bradstreet mitgeteilt, dass die Kunden Die Aktualisierung des DUNS-Verzeichnisses ist „in Arbeit“ und „noch nicht abgeschlossen“, und es wurde ihnen geraten, sich wieder an die Dun & Bradstreet, wenn die Kunden eine E-Mail-Nachricht von Dun & Bradstreet erhalten, die ihnen bestätigt, dass ihre DUNS Die Liste wurde aktualisiert.

Wenn Ihnen 5-40 Tage zu lang sind, empfehlen wir Ihnen andere Methoden zur Validierung Ihres Unternehmens und Ihrer Telefonnummern, z. B. die Vorlage eines notariellen Schreibens, eines Anwalts oder eines Wirtschaftsprüfers. Mit dieser Methode können Sie die Business oder Extended Validation innerhalb von 1-2 Tagen bestehen.

Link kopieren