Sertifikat Penandatanganan Kode OV adalah untuk pengembang perangkat lunak seperti halnya sertifikat SSL untuk situs web. Tanpa sertifikat ini, penerbitnya tetap tidak diketahui, sementara kodenya sangat rentan terhadap serangan siber. Seperti halnya dengan produk PKI lainnya, melindungi kunci penandatanganan kode sangat penting. Tetapi seperti halnya dengan sertifikat SSL biasa, terkadang kunci tersebut jatuh ke tangan yang salah dan membawa segala macam masalah.
Tanyakan saja pada Nvidia, perusahaan teknologi terkenal yang baru-baru ini melihat tidak hanya satu tetapi dua sertifikat penandatanganan kode OV-nya dicuri. Para peretas dari kelompok Lapsus$ yang terkenal kejam menggunakan sertifikat yang disusupi untuk menandatangani perangkat lunak berbahaya mereka dan membuatnya terlihat seperti berasal dari Nvidia sendiri.
Meskipun serangan sebesar ini jarang terjadi, namun kerusakan keamanan dan reputasinya bisa menjadi signifikan. Pelajaran yang dapat diambil dari pelanggaran terbaru ini sederhana saja: jangan menyimpan sertifikat dan kunci penandatanganan kode di server Anda!
Forum CA/Browser bereaksi dengan cepat dan mengubah penerbitan dan pemasangan sertifikat penandatanganan kode dengan melakukan pemungutan suara untuk menerbitkannya pada perangkat keras keamanan fisik khusus mulai tanggal 15 November.
Perubahan penandatanganan kode – gambaran umum
Perubahan itu sendiri bukanlah terobosan baru karena CA sudah memberikan sertifikat penandatanganan kode Validasi yang Diperluas kepada pelanggan pada perangkat USB atau modul keamanan perangkat keras (HSM). Dalam waktu dekat, prosedur yang sama akan berlaku untuk sertifikat penandatanganan kode Validasi Organisasi dan Validasi Individu.
Secara teknis, perangkat keras yang aman akan mencakup perangkat yang sesuai dengan FIPS (Standar Pemrosesan Informasi Federal) seperti FIPS 140-2 Level 2, Kriteria Umum EAL 4+, atau solusi penandatanganan (minimal) seperti:
- Modul keamanan perangkat keras (HSM), (cloud atau perangkat fisik)
- Token keamanan seperti alat perangkat keras USB fisik
- Layanan penyimpanan dan penandatanganan kunci
Dalam praktiknya, Anda tidak perlu lagi membuat Permintaan Penandatanganan Sertifikat karena CA akan mengurus semua sisi teknis.
Alasan di balik perombakan penandatanganan kode
Sebagian besar perubahan dan peningkatan Forum CA/Browser didorong oleh masalah keamanan yang muncul yang tidak dapat lagi diabaikan. Yang satu ini tidak terkecuali. Setelah beberapa kejadian yang cukup terkenal, Forum CA/B menguraikan standar keamanan penandatanganan kode dalam Persyaratan Dasar (BR) untuk Penerbitan dan Pengelolaan Penandatanganan Kode (versi 2.8), diperbarui melalui Surat Suara CSC-13 – Pembaruan untuk Persyaratan Perlindungan Kunci Pelanggan.
Hasilnya, semua sertifikat penandatanganan kode, apa pun metode validasinya, akan dikirimkan pada perangkat keras yang aman. Dan, karena CA sudah menggunakan perangkat fisik untuk mengirimkan sertifikat penandatanganan kode EV, perubahannya seharusnya lancar dan mudah.
Perubahan yang akan datang dikonfirmasi di bagian 16.3.1 Perlindungan Kunci Pribadi Pelanggan dari sertifikat penandatanganan kode BR (versi 2.8). Inilah yang dinyatakannya:
“CA HARUS mendapatkan representasi kontraktual dari Pelanggan bahwa Pelanggan akan menggunakan salah satu opsi berikut untuk menghasilkan dan melindungi Kunci Privat Sertifikat Penandatanganan Kode mereka dalam Modul Kripto Perangkat Keras dengan faktor bentuk desain unit yang disertifikasi sesuai dengan setidaknya FIPS 140-2 Level 2 atau Kriteria Umum EAL 4+.”
Bagaimana saya harus mempersiapkan diri?
Secara resmi, penyesuaian akan dilakukan pada hari Selasa, 15 November 2022, pukul 12.00 Waktu Universal Terkoordinasi (UTC). Anda dapat menggunakan konverter zona waktu untuk menentukan waktu lokal Anda. Namun, seperti yang sering terjadi, beberapa CA seperti Sectigo dan Digicert mungkin mulai meluncurkan perubahan lebih cepat dari jadwal untuk menyelesaikan potensi masalah sebelum batas waktu resmi. Sejauh ini, kami belum menerima pembaruan apa pun dari CA terkait masalah ini, jadi kami akan terus mengabari Anda.
Persyaratan baru ini akan memengaruhi siapa pun yang membeli sertifikat penandatanganan kode OV atau IV setelah tanggal target November. Jika sertifikat Anda kedaluwarsa setelah tenggat waktu tersebut, Anda harus menerbitkannya kembali dengan mengikuti aturan baru.
Sertifikat penandatanganan kode yang sudah ada yang diterbitkan sebelum tanggal 15 November akan berfungsi sebagaimana mestinya. Anda dapat terus menandatangani perangkat lunak Anda seperti biasa. Setelah perubahan terjadi, pemohon penandatanganan kode harus mengonfirmasi bahwa mereka akan menyimpan kunci mereka di salah satu opsi berikut:
- Token keamanan HSM atau USB
- Solusi pembuatan kunci dan perlindungan berbasis cloud
- Layanan penandatanganan yang memenuhi persyaratan yang diuraikan dalam Persyaratan Dasar Forum CA/B
Pikiran Akhir
CA belum menyelesaikan semua detail untuk menerbitkan sertifikat penandatanganan kode setelah peluncuran bulan November. Kami mengharapkan proses pembelian yang disederhanakan mirip dengan bagaimana sertifikat penandatanganan kode EV diperoleh. CA juga akan menyediakan token keamanan untuk private key Anda, tetapi Anda juga akan memiliki opsi untuk menggunakan private key Anda sendiri jika memenuhi semua persyaratan kepatuhan.
Vektor administrator sistem yang dibuat oleh macrovector – www.freepik.com
Hemat 10% untuk Sertifikat SSL saat memesan hari ini!
Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10
