वास्तविक उपकरणों पर जारी किए जाने वाले OV कोड साइनिंग सर्टिफिकेट

अंतिम अपडेट किया गया द्वारा Dionisie Gitlan

OV कोड साइनिंग सर्टिफिकेट सॉफ्टवेयर डेवलपर्स के लिए हैं जैसे एसएसएल सर्टिफिकेट एक वेबसाइट के लिए हैं। उनके बिना, प्रकाशक अज्ञात रहता है, जबकि कोड साइबर हमलों के लिए अतिसंवेदनशील होता है। जैसा कि किसी भी PKI उत्पाद के साथ होता है, कोड साइनिंग कुंजियों की सुरक्षा करना आवश्यक है। लेकिन नियमित एसएसएल प्रमाणपत्र की तरह, कभी-कभी चाबियाँ गलत हाथों में पड़ जाती हैं और सभी प्रकार की परेशानी लाती हैं।

बस एनवीडिया से पूछें, प्रसिद्ध प्रौद्योगिकी कंपनी जिसने हाल ही में अपने ओवी कोड साइनिंग प्रमाणपत्रों में से एक नहीं बल्कि दो को चोरी कर लिया था. कुख्यात लैप्सस $ समूह के हैकर्स ने अपने दुर्भावनापूर्ण सॉफ़्टवेयर पर हस्ताक्षर करने के लिए समझौता किए गए प्रमाणपत्रों का उपयोग किया और ऐसा लगता है कि यह एनवीडिया से ही आया है।

हालांकि इस परिमाण के हमले असामान्य हैं, उनकी सुरक्षा और प्रतिष्ठित क्षति महत्वपूर्ण हो सकती है। इस नवीनतम उल्लंघन से सीखा गया सबक सरल है: अपने सर्वर पर कोड-साइनिंग प्रमाणपत्र और कुंजियों को स्टोर न करें!

सीए / ब्राउज़र फोरम ने जल्दी से प्रतिक्रिया व्यक्त की और 15 नवंबर से शुरू होने वाले विशेष भौतिक सुरक्षा हार्डवेयर उपकरणों पर उन्हें जारी करने के लिए मतदान करके कोड हस्ताक्षर प्रमाण पत्र जारी करने और स्थापित करने में संशोधन किया।

कोड हस्ताक्षर परिवर्तन – अवलोकन

परिवर्तन स्वयं ग्राउंडब्रेकिंग नहीं है क्योंकि सीए पहले से ही यूएसबी डिवाइस या हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) पर ग्राहकों को विस्तारित सत्यापन कोड हस्ताक्षर प्रमाणपत्र प्रदान करते हैं। जल्द ही, वही प्रक्रिया संगठन सत्यापन और व्यक्तिगत सत्यापन कोड हस्ताक्षर प्रमाणपत्रों पर लागू होगी।

तकनीकी रूप से बोल रहे हैं, सुरक्षित हार्डवेयर FIPS (संघीय सूचना संसाधन मानक) FIPS 140-2 स्तर 2, सामान्य मापदंड EAL 4 + जैसे समर्थक डिवाइस शामिल होंगे, या हस्ताक्षर समाधान (एक न्यूनतम के रूप में) जैसे:

  • हार्डवेयर सुरक्षा मॉड्यूल (HSMs), (क्लाउड या भौतिक उपकरण)
  • सुरक्षा टोकन जैसे भौतिक USB हार्डवेयर उपकरण
  • कुंजी भंडारण और हस्ताक्षर सेवाएं

व्यवहार में, अब आपको प्रमाणपत्र हस्ताक्षर अनुरोध उत्पन्न करने की आवश्यकता नहीं होगी क्योंकि CA सभी तकनीकी पक्ष का ध्यान रखेगा।

कोड साइनिंग ओवरहाल के पीछे का कारण

अधिकांश CA/ब्राउज़र फ़ोरम परिवर्तन और सुधार उभरते सुरक्षा मुद्दों से प्रेरित होते हैं जिन्हें अब उपेक्षित नहीं किया जा सकता है। यह विशेष एक अपवाद नहीं है। कुछ हाई-प्रोफाइल पराजय के बाद, CA/B फोरम ने कोड साइनिंग सुरक्षा मानकों को रेखांकित किया कोड हस्ताक्षर जारी करने और प्रबंधन के लिए आधारभूत आवश्यकताएँ (BR) ( संस्करण 2.8), मतपत्र CSC-13 के माध्यम से अद्यतन — सदस्य कुंजी सुरक्षा आवश्यकताओं के लिए अद्यतन.

नतीजतन, सभी कोड हस्ताक्षर प्रमाणपत्र, सत्यापन विधि की परवाह किए बिना, सुरक्षित हार्डवेयर उपकरणों पर भेज दिए जाएंगे। और, चूंकि सीए पहले से ही ईवी कोड साइनिंग सर्टिफिकेट देने के लिए भौतिक उपकरणों का उपयोग करते हैं, इसलिए परिवर्तन सहज और सीधे होने चाहिए।

आगामी परिवर्तनों की पुष्टि अनुभाग 16.3.1 सब्सक्राइबर प्राइवेट कुंजी कोड हस्ताक्षर प्रमाणपत्र BR (संस्करण 2.8) की सुरक्षा में की गई है। यहाँ यह क्या कहता है:

“CA सब्सक्राइबर जनरेट करें और कम से कम FIPS 140-2 स्तर 2 या सामान्य मापदंड EAL 4+ के अनुरूप के रूप में प्रमाणित इकाई डिज़ाइन प्रपत्र कारक के साथ एक हार्डवेयर क्रिप्टो मॉड्यूल में उनके कोड हस्ताक्षर प्रमाणपत्र निजी कुंजी की सुरक्षा करने के लिए निम्न विकल्पों में से एक का उपयोग करेगा कि सब्सक्राइबर से एक संविदात्मक प्रतिनिधित्व प्राप्त करना होगा.”

मुझे कैसे तैयारी करनी चाहिए?

आधिकारिक तौर पर, समायोजन मंगलवार, 15 नवंबर, 2022 को 12 बजे होगा। a.m समन्वित सार्वभौमिक समय (UTC)। आप एक का उपयोग कर सकते हैं समय क्षेत्र कनवर्टर अपना स्थानीय समय निर्धारित करने के लिए। हालांकि, जैसा कि अक्सर होता है, सेक्टिगो और डिजिसर्ट जैसे कुछ सीए आधिकारिक समय सीमा से पहले किसी भी संभावित मुद्दों को हल करने के लिए शेड्यूल से पहले बदलाव करना शुरू कर सकते हैं। अब तक, हमें इस मामले पर सीए से कोई अपडेट नहीं मिला है, इसलिए हम आपको अपडेट रखेंगे।

नई आवश्यकताएं नवंबर की लक्ष्य तिथि के बाद OV या IV कोड साइनिंग सर्टिफिकेट खरीदने वाले किसी भी व्यक्ति को प्रभावित करेंगी। यदि आपका प्रमाणपत्र समय सीमा के बाद समाप्त हो जाता है, तो आपको नए नियमों का पालन करते हुए इसे फिर से जारी करना होगा।

15 नवंबर से पहले जारी किए गए मौजूदा कोड हस्ताक्षर प्रमाण पत्र इरादे के अनुसार कार्य करेंगे। आप हमेशा की तरह अपने सॉफ़्टवेयर पर हस्ताक्षर करना जारी रख सकते हैं। परिवर्तन होने के बाद, कोड हस्ताक्षर करने वाले आवेदकों को यह पुष्टि करनी होगी कि वे निम्नलिखित विकल्पों में से एक में अपनी चाबियाँ संग्रहीत करेंगे:

  • HSM या USB सुरक्षा टोकन
  • क्लाउड-आधारित कुंजी निर्माण और सुरक्षा समाधान
  • एक हस्ताक्षर सेवा जो CA/B फ़ोरम आधारभूत आवश्यकताओं में उल्लिखित आवश्यकताओं को पूरा करती है

अंतिम विचार

सीए ने अभी तक नवंबर रोलआउट के बाद कोड साइनिंग सर्टिफिकेट जारी करने के लिए सभी विवरणों को अंतिम रूप नहीं दिया है। हम एक सुव्यवस्थित खरीद प्रक्रिया की उम्मीद करते हैं जैसे कि ईवी कोड साइनिंग सर्टिफिकेट कैसे प्राप्त किया जाता है। सीए आपकी निजी कुंजी के लिए सुरक्षा टोकन भी प्रदान करेगा, लेकिन यदि यह सभी अनुपालन आवश्यकताओं को पूरा करता है तो आपके पास अपना स्वयं का उपयोग करने का विकल्प भी होगा।

मैक्रोवेक्टर द्वारा बनाया गया सिस्टम प्रशासक वेक्टर – www.freepik.com

आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!

तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10

अभी 10% बचाएं!
द्वारा लिखित

एसएसएल प्रमाणपत्रों में विशेषज्ञता वाला अनुभवी सामग्री लेखक। जटिल साइबर सुरक्षा विषयों को स्पष्ट, आकर्षक सामग्री में बदलना। प्रभावशाली आख्यानों के माध्यम से डिजिटल सुरक्षा को बेहतर बनाने में योगदान करें।

संबंधित पोस्ट
What Is an LEI
एक कानूनी इकाई पहचानकर्ता (एलईआई) क्या है और यह कैसे काम करता है?
What Is a Code Signing Certificate
कोड साइनिंग सर्टिफिकेट क्या है और यह कैसे काम करता है?
एसएसएल ग्रीन बार अब मौजूद क्यों नहीं है?
OV vs EV Certificate
ओवी और ईवी प्रमाणपत्रों के बीच अंतर की खोज करें