Quelle méthode de livraison de certificats de signature de code choisir ?

Les dernières modifications apportées à la réglementation du CA/Browser Forum obligent les utilisateurs à installer des certificats de signature de code sur des modules de sécurité matériels (jetons matériels physiques). Les organisations et les particuliers qui souhaitent obtenir des certificats de signature de code de validation d’organisation (OV) ou de validation individuelle (IV) peuvent acheter des jetons de certificat préconfigurés ou commander un certificat sur leurs dispositifs matériels existants.

Lors de l’acquisition d’un certificat de signature de code, il est impératif de sélectionner le mode de livraison adéquat lors de l’achat, car vous ne pourrez plus modifier ce choix par la suite.

Qu’est-ce qu’un jeton électronique ?

Un jeton électronique (e-token) est un petit dispositif matériel destiné à l’authentification sécurisée et au cryptage des données. Il est souvent utilisé dans le domaine des technologies de l’information et de la cybersécurité pour fournir une couche de sécurité supplémentaire. Ce dispositif génère des mots de passe à usage unique (OTP) ou des clés cryptographiques permettant d’accéder à des systèmes, réseaux ou applications protégés. Les particuliers et les organisations utilisent couramment les jetons électroniques pour protéger les données sensibles et empêcher tout accès non autorisé.

Qu’est-ce qu’un module de sécurité matériel (HSM) ?

Un module de sécurité matériel (HSM) est un dispositif matériel inviolable qui offre des services cryptographiques, la gestion des clés et le stockage sécurisé des données sensibles, telles que les clés cryptographiques, les certificats et les signatures numériques. Il protège les actifs numériques critiques contre tout accès non autorisé.

Les HSM sont des dispositifs isolés et autonomes, ce qui signifie qu’ils sont séparés du système hôte et qu’ils sont moins sensibles aux attaques logicielles contre le système d’exploitation. Les HSM sont utilisés dans de nombreux secteurs, notamment la finance, l’administration, les soins de santé et la technologie, où des exigences strictes en matière de sécurité sont essentielles.

Comment les HSM améliorent-ils la sécurité de la signature des codes ?

Les modules de sécurité matériels renforcent la sécurité des certificats de signature de code de la manière suivante :

• Protection des clés : Les HSM stockent les clés privées dans un environnement matériel sécurisé, ce qui rend leur accès ou leur vol extrêmement difficile pour les pirates. Les clés privées ne quittent jamais le HSM, ce qui réduit le risque d’exposition.
• Signature sécurisée : Le processus de signature se déroule à l’intérieur du HSM, protégeant ainsi le processus de signature du code contre les menaces extérieures.
• Résistance à l’effraction : Les HSM sont inviolables et toute tentative physique d’accès ou de manipulation du dispositif détruit généralement les clés stockées, les rendant inutilisables pour les attaquants.
• Authentification multifactorielle : De nombreux HSM prennent en charge l’authentification multifactorielle pour les administrateurs, ce qui ajoute une couche de sécurité supplémentaire lors de l’accès aux opérations cryptographiques.

Méthodes de délivrance des certificats de signature de code

1. Jeton + expédition

Recommandé pour la plupart des utilisateurs

La méthode Token + Shipping vous permet de commander un token préconfiguré directement auprès de l’autorité de certification. Le prix d’achat comprend à la fois le jeton matériel et les frais d’expédition. Cette option est idéale pour la plupart des utilisateurs, car elle offre simplicité et commodité dans l’acquisition et la mise en œuvre du certificat. Les frais d’expédition des jetons sont indiqués ci-dessous :

Sectigo/Comodo

• Jeton + Expédition accélérée (USA) $147.00 USD
• Token + Expédition internationale $137.00 USD
• Jeton + Expédition standard (USA) $95.00 USD

Digicert et GoGetSSL

• Token + Expédition (USA et International) $126 USD

2. Installation sur un HSM ou un token existant

Pour les utilisateurs avancés

Pour ceux qui possèdent déjà un module de sécurité matériel compatible, la méthode “Installer sur un module de sécurité matériel ou un jeton existant” est disponible. Vous pouvez installer le certificat de signature de code sur votre matériel si vous connaissez le logiciel associé. Lorsque vous commandez des certificats Sectigo/Comodo, vous devez fournir un ensemble d’attestation pour votre HSM.

Cette méthode est spécifiquement recommandée aux utilisateurs avancés ayant une expertise dans la gestion de matériel tiers, étant donné que SSL Dragon et l’autorité de certification ne peuvent pas prendre en charge les dispositifs HSM externes. Les marques de HSM prises en charge pour cette méthode doivent être certifiées FIPS 140 niveau 2, Critères communs EAL 4+ ou équivalent. Les marques et jetons HSM suivants sont pris en charge :

Sectigo/Comodo

• Yubikey 5 FIPS
• LUNA Network Attached HSM, version 7+.

DigiCert et GoGetSSL

Vous pouvez utiliser votre propre jeton ou installer le certificat sur un HSM existant :

Jetons pris en charge:

• SafeNet eToken 5110 CC pour les certificats de clé RSA 4096 bits et ECC P-256 bits ou plus.
• SafeNet eToken 5110 FIPS pour les certificats ECC P-256 et P-384 bits.
• SafeNet eToken 5110+ FIPS pour les certificats RSA 4096 bits et ECC P-256 bits ou plus.

Votre propre HSM :

• Vous devez disposer d’un HSM de niveau 2 Common Criteria EAL4+ ou FIPS 140-2.
• Une fois que vous avez le HSM, soumettez une demande de signature de certificat (CSR) avec votre demande de certificat.
• Une fois la formation terminée, vous recevrez une copie de votre certificat par courrier électronique.

Respecter votre décision

Une fois que vous avez effectué votre achat, vous ne pouvez plus modifier le mode de livraison choisi. Il convient donc de bien réfléchir à ses besoins et de choisir au préalable l’option la plus adaptée. Si vous avez besoin d’un autre mode de livraison, vous pouvez annuler votre commande via le tableau de bord de votre compte et acheter un autre certificat avec le mode de livraison de votre choix.

Résultat final

Face à l’évolution des cybermenaces, les solutions cryptographiques traditionnelles basées sur des logiciels sont de plus en plus vulnérables. Les HSM offrent une défense solide contre les attaques sophistiquées. En comprenant les options disponibles et en sélectionnant la méthode de délivrance du certificat appropriée, vous pouvez garantir une acquisition efficace et sans heurts de votre certificat de signature de code, en protégeant vos logiciels et vos actifs numériques grâce à des mesures de sécurité renforcées.