OV कोड साइनिंग सर्टिफिकेट सॉफ्टवेयर डेवलपर्स के लिए हैं जैसे एसएसएल सर्टिफिकेट एक वेबसाइट के लिए हैं। उनके बिना, प्रकाशक अज्ञात रहता है, जबकि कोड साइबर हमलों के लिए अतिसंवेदनशील होता है। जैसा कि किसी भी PKI उत्पाद के साथ होता है, कोड साइनिंग कुंजियों की सुरक्षा करना आवश्यक है। लेकिन नियमित एसएसएल प्रमाणपत्र की तरह, कभी-कभी चाबियाँ गलत हाथों में पड़ जाती हैं और सभी प्रकार की परेशानी लाती हैं।
बस एनवीडिया से पूछें, प्रसिद्ध प्रौद्योगिकी कंपनी जिसने हाल ही में अपने ओवी कोड साइनिंग प्रमाणपत्रों में से एक नहीं बल्कि दो को चोरी कर लिया था. कुख्यात लैप्सस $ समूह के हैकर्स ने अपने दुर्भावनापूर्ण सॉफ़्टवेयर पर हस्ताक्षर करने के लिए समझौता किए गए प्रमाणपत्रों का उपयोग किया और ऐसा लगता है कि यह एनवीडिया से ही आया है।
हालांकि इस परिमाण के हमले असामान्य हैं, उनकी सुरक्षा और प्रतिष्ठित क्षति महत्वपूर्ण हो सकती है। इस नवीनतम उल्लंघन से सीखा गया सबक सरल है: अपने सर्वर पर कोड-साइनिंग प्रमाणपत्र और कुंजियों को स्टोर न करें!
सीए / ब्राउज़र फोरम ने जल्दी से प्रतिक्रिया व्यक्त की और 15 नवंबर से शुरू होने वाले विशेष भौतिक सुरक्षा हार्डवेयर उपकरणों पर उन्हें जारी करने के लिए मतदान करके कोड हस्ताक्षर प्रमाण पत्र जारी करने और स्थापित करने में संशोधन किया।
कोड हस्ताक्षर परिवर्तन – अवलोकन
परिवर्तन स्वयं ग्राउंडब्रेकिंग नहीं है क्योंकि सीए पहले से ही यूएसबी डिवाइस या हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) पर ग्राहकों को विस्तारित सत्यापन कोड हस्ताक्षर प्रमाणपत्र प्रदान करते हैं। जल्द ही, वही प्रक्रिया संगठन सत्यापन और व्यक्तिगत सत्यापन कोड हस्ताक्षर प्रमाणपत्रों पर लागू होगी।
तकनीकी रूप से बोल रहे हैं, सुरक्षित हार्डवेयर FIPS (संघीय सूचना संसाधन मानक) FIPS 140-2 स्तर 2, सामान्य मापदंड EAL 4 + जैसे समर्थक डिवाइस शामिल होंगे, या हस्ताक्षर समाधान (एक न्यूनतम के रूप में) जैसे:
- हार्डवेयर सुरक्षा मॉड्यूल (HSMs), (क्लाउड या भौतिक उपकरण)
- सुरक्षा टोकन जैसे भौतिक USB हार्डवेयर उपकरण
- कुंजी भंडारण और हस्ताक्षर सेवाएं
व्यवहार में, अब आपको प्रमाणपत्र हस्ताक्षर अनुरोध उत्पन्न करने की आवश्यकता नहीं होगी क्योंकि CA सभी तकनीकी पक्ष का ध्यान रखेगा।
कोड साइनिंग ओवरहाल के पीछे का कारण
अधिकांश CA/ब्राउज़र फ़ोरम परिवर्तन और सुधार उभरते सुरक्षा मुद्दों से प्रेरित होते हैं जिन्हें अब उपेक्षित नहीं किया जा सकता है। यह विशेष एक अपवाद नहीं है। कुछ हाई-प्रोफाइल पराजय के बाद, CA/B फोरम ने कोड साइनिंग सुरक्षा मानकों को रेखांकित किया कोड हस्ताक्षर जारी करने और प्रबंधन के लिए आधारभूत आवश्यकताएँ (BR) ( संस्करण 2.8), मतपत्र CSC-13 के माध्यम से अद्यतन — सदस्य कुंजी सुरक्षा आवश्यकताओं के लिए अद्यतन.
नतीजतन, सभी कोड हस्ताक्षर प्रमाणपत्र, सत्यापन विधि की परवाह किए बिना, सुरक्षित हार्डवेयर उपकरणों पर भेज दिए जाएंगे। और, चूंकि सीए पहले से ही ईवी कोड साइनिंग सर्टिफिकेट देने के लिए भौतिक उपकरणों का उपयोग करते हैं, इसलिए परिवर्तन सहज और सीधे होने चाहिए।
आगामी परिवर्तनों की पुष्टि अनुभाग 16.3.1 सब्सक्राइबर प्राइवेट कुंजी कोड हस्ताक्षर प्रमाणपत्र BR (संस्करण 2.8) की सुरक्षा में की गई है। यहाँ यह क्या कहता है:
“CA सब्सक्राइबर जनरेट करें और कम से कम FIPS 140-2 स्तर 2 या सामान्य मापदंड EAL 4+ के अनुरूप के रूप में प्रमाणित इकाई डिज़ाइन प्रपत्र कारक के साथ एक हार्डवेयर क्रिप्टो मॉड्यूल में उनके कोड हस्ताक्षर प्रमाणपत्र निजी कुंजी की सुरक्षा करने के लिए निम्न विकल्पों में से एक का उपयोग करेगा कि सब्सक्राइबर से एक संविदात्मक प्रतिनिधित्व प्राप्त करना होगा.”
मुझे कैसे तैयारी करनी चाहिए?
आधिकारिक तौर पर, समायोजन मंगलवार, 15 नवंबर, 2022 को 12 बजे होगा। a.m समन्वित सार्वभौमिक समय (UTC)। आप एक का उपयोग कर सकते हैं समय क्षेत्र कनवर्टर अपना स्थानीय समय निर्धारित करने के लिए। हालांकि, जैसा कि अक्सर होता है, सेक्टिगो और डिजिसर्ट जैसे कुछ सीए आधिकारिक समय सीमा से पहले किसी भी संभावित मुद्दों को हल करने के लिए शेड्यूल से पहले बदलाव करना शुरू कर सकते हैं। अब तक, हमें इस मामले पर सीए से कोई अपडेट नहीं मिला है, इसलिए हम आपको अपडेट रखेंगे।
नई आवश्यकताएं नवंबर की लक्ष्य तिथि के बाद OV या IV कोड साइनिंग सर्टिफिकेट खरीदने वाले किसी भी व्यक्ति को प्रभावित करेंगी। यदि आपका प्रमाणपत्र समय सीमा के बाद समाप्त हो जाता है, तो आपको नए नियमों का पालन करते हुए इसे फिर से जारी करना होगा।
15 नवंबर से पहले जारी किए गए मौजूदा कोड हस्ताक्षर प्रमाण पत्र इरादे के अनुसार कार्य करेंगे। आप हमेशा की तरह अपने सॉफ़्टवेयर पर हस्ताक्षर करना जारी रख सकते हैं। परिवर्तन होने के बाद, कोड हस्ताक्षर करने वाले आवेदकों को यह पुष्टि करनी होगी कि वे निम्नलिखित विकल्पों में से एक में अपनी चाबियाँ संग्रहीत करेंगे:
- HSM या USB सुरक्षा टोकन
- क्लाउड-आधारित कुंजी निर्माण और सुरक्षा समाधान
- एक हस्ताक्षर सेवा जो CA/B फ़ोरम आधारभूत आवश्यकताओं में उल्लिखित आवश्यकताओं को पूरा करती है
अंतिम विचार
सीए ने अभी तक नवंबर रोलआउट के बाद कोड साइनिंग सर्टिफिकेट जारी करने के लिए सभी विवरणों को अंतिम रूप नहीं दिया है। हम एक सुव्यवस्थित खरीद प्रक्रिया की उम्मीद करते हैं जैसे कि ईवी कोड साइनिंग सर्टिफिकेट कैसे प्राप्त किया जाता है। सीए आपकी निजी कुंजी के लिए सुरक्षा टोकन भी प्रदान करेगा, लेकिन यदि यह सभी अनुपालन आवश्यकताओं को पूरा करता है तो आपके पास अपना स्वयं का उपयोग करने का विकल्प भी होगा।
मैक्रोवेक्टर द्वारा बनाया गया सिस्टम प्रशासक वेक्टर – www.freepik.com
आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!
तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10