Welche Methode zur Bereitstellung von Code Signing-Zertifikaten sollte gewählt werden?

Die jüngsten Änderungen der CA/Browser Forum-Vorschriften verpflichten die Benutzer, Code Signing-Zertifikate auf Hardware-Sicherheitsmodulen (physischen Hardware-Tokens) zu installieren. Organisationen und Einzelpersonen, die Code-Signatur-Zertifikate mit Organisationsvalidierung (OV) oder Einzelvalidierung (IV) benötigen, können vorkonfigurierte Zertifikatstoken erwerben oder ein Zertifikat für ihre vorhandenen Hardwaregeräte bestellen.

Wenn Sie ein Code Signing-Zertifikat erwerben, müssen Sie beim Kauf unbedingt die passende Liefermethode auswählen, da Sie diese Wahl später nicht mehr ändern können.

Was ist ein elektronischer Token?

Ein elektronisches Token (E-Token) ist ein kleines Hardware-Gerät zur sicheren Authentifizierung und Datenverschlüsselung. Sie wird häufig in der Informationstechnologie und der Cybersicherheit eingesetzt, um eine zusätzliche Sicherheitsebene zu schaffen. Dieses Gerät generiert Einmalpasswörter (OTPs) oder kryptografische Schlüssel für den Zugriff auf geschützte Systeme, Netzwerke oder Anwendungen. Einzelpersonen und Organisationen verwenden häufig e-Tokens, um sensible Daten zu schützen und unbefugten Zugriff zu verhindern.

Was ist ein Hardware-Sicherheitsmodul (HSM)?

Ein Hardware-Sicherheitsmodul (HSM) ist ein manipulationssicheres Hardware-Gerät, das kryptografische Dienste, Schlüsselverwaltung und die sichere Speicherung sensibler Daten wie kryptografische Schlüssel, Zertifikate und digitale Signaturen bietet. Es sichert wichtige digitale Daten und schützt sie vor unbefugtem Zugriff.

HSMs sind isolierte, eigenständige Geräte, d. h. sie sind vom Host-System getrennt und weniger anfällig für softwarebasierte Angriffe auf das Betriebssystem. HSMs werden in verschiedenen Branchen eingesetzt, z. B. im Finanzwesen, in Behörden, im Gesundheitswesen und in der Technik, wo strenge Sicherheitsanforderungen gelten.

Wie verbessern HSMs die Sicherheit von Code Signing?

Hardware-Sicherheitsmodule erhöhen die Sicherheit von Code Signing-Zertifikaten auf folgende Weise:

• Schutz der Schlüssel: HSMs speichern private Schlüssel in einer sicheren Hardware-Umgebung, was es für Angreifer extrem schwierig macht, auf sie zuzugreifen oder sie zu stehlen. Die privaten Schlüssel verlassen nie das HSM, was das Risiko einer Aufdeckung verringert.
• Sicheres Signieren: Der Signiervorgang findet innerhalb des HSM statt, wodurch der Code-Signiervorgang vor externen Bedrohungen geschützt ist.
• Manipulationssicherheit: HSMs sind manipulationssicher, und jeder physische Versuch, auf das Gerät zuzugreifen oder es zu manipulieren, zerstört in der Regel die gespeicherten Schlüssel, so dass sie für Angreifer unbrauchbar werden.
• Multi-Faktor-Authentifizierung: Viele HSMs unterstützen die Multi-Faktor-Authentifizierung für Administratoren, was eine zusätzliche Sicherheitsebene beim Zugriff auf kryptografische Operationen darstellt.

Liefermethoden für Code Signing-Zertifikate

1. Wertmarke + Versand

Empfohlen für die meisten Benutzer

Die Methode Token + Versand ermöglicht es Ihnen, ein vorkonfiguriertes Token direkt bei der Zertifizierungsstelle zu bestellen. Im Kaufpreis sind sowohl der Hardware-Token als auch die Versandgebühren enthalten. Diese Option ist für die meisten Benutzer ideal, da sie eine einfache und bequeme Möglichkeit bietet, das Zertifikat zu erwerben und zu implementieren. Im Folgenden sind die Gebühren für den Versand von Wertmarken aufgeführt:

Sectigo/Comodo

• Wertmarke + Eilversand (USA) $147.00 USD
• Wertmarke + Internationaler Versand $137.00 USD
• Wertmarke + Standardversand (USA) $95.00 USD

Digicert und GoGetSSL

• Token + Versand (USA und International) $126 USD

2. Installation auf vorhandenem HSM oder Token

Für fortgeschrittene Benutzer

Für diejenigen, die bereits ein kompatibles Hardware-Sicherheitsmodul besitzen, gibt es die Methode “Installation auf vorhandenem HSM oder Token”. Sie können das Code Signing-Zertifikat auf Ihrem Hardware-Gerät installieren, wenn Sie mit der zugehörigen Software vertraut sind. Bei der Bestellung von Sectigo/Comodo-Zertifikaten müssen Sie als Voraussetzung ein Attestation Bundle für Ihr HSM vorlegen.

Diese Methode wird speziell für fortgeschrittene Benutzer empfohlen, die sich mit der Verwaltung von Hardware von Drittanbietern auskennen, da SSL Dragon und die Zertifizierungsstelle keine Unterstützung für externe HSM-Geräte bieten können. Unterstützte HSM-Marken für diese Methode müssen nach FIPS 140 Level 2, Common Criteria EAL 4+ oder gleichwertig zertifiziert sein. Die folgenden HSM-Marken und Token werden unterstützt:

Sectigo/Comodo

• Yubikey 5 FIPS
• LUNA Network Attached HSM, Version 7+

DigiCert und GoGetSSL

Sie können Ihr eigenes unterstütztes Token verwenden oder das Zertifikat auf einem vorhandenen HSM installieren:

Unterstützte Token:

• SafeNet eToken 5110 CC für RSA 4096-Bit und ECC P-256-Bit oder höhere Schlüsselzertifikate.
• SafeNet eToken 5110 FIPS für ECC-Schlüsselzertifikate mit P-256 und P-384 Bit.
• SafeNet eToken 5110+ FIPS für RSA 4096-Bit und ECC P-256-Bit oder höhere Schlüsselzertifikate.

Ihr eigenes HSM:

• Sie müssen ein Common Criteria EAL4+ oder FIPS 140-2 Level 2 HSM besitzen.
• Sobald Sie das HSM haben, übermitteln Sie einen Certificate Signing Request (CSR) zusammen mit Ihrer Zertifikatsanforderung.
• Nach Abschluss des Kurses erhalten Sie eine Kopie Ihres Zertifikats per E-Mail.

Festhalten an Ihrer Entscheidung

Sobald Sie Ihren Kauf abgeschlossen haben, können Sie die gewählte Versandart nicht mehr ändern. Überlegen Sie daher sorgfältig, welche Anforderungen Sie haben, und wählen Sie die am besten geeignete Option aus, bevor Sie sich entscheiden. Wenn Sie eine andere Liefermethode benötigen, können Sie Ihre Bestellung über Ihr Konto-Dashboard stornieren und ein neues Zertifikat mit der von Ihnen bevorzugten Methode erwerben.

Unterm Strich

Mit der Weiterentwicklung von Cyber-Bedrohungen werden herkömmliche softwarebasierte Verschlüsselungslösungen immer anfälliger. HSMs bieten einen robusten Schutz gegen ausgeklügelte Angriffe. Wenn Sie die verfügbaren Optionen kennen und die geeignete Methode zur Bereitstellung des Zertifikats auswählen, können Sie einen reibungslosen und effizienten Erwerb Ihres Codesignaturzertifikats gewährleisten und Ihre Software und digitalen Ressourcen durch verbesserte Sicherheitsmaßnahmen schützen.