bg-blog-articles

Certificati di firma del codice OV da emettere su dispositivi reali

I certificati OV Code Signing sono per gli sviluppatori di software come i certificati SSL per un sito web. Senza di essi, l’editore rimane sconosciuto, mentre il codice è altamente suscettibile agli attacchi informatici. Come per ogni prodotto PKI, la protezione delle chiavi di firma del codice è essenziale. Ma proprio come nel caso dei normali certificati SSL, a volte le chiavi cadono nelle mani sbagliate e creano problemi di ogni tipo.

Basta chiedere a Nvidia, la famosa azienda tecnologica che recentemente ha visto non uno ma due dei suoi certificati di firma del codice OV rubati. Gli hacker del noto gruppo Lapsus$ hanno utilizzato i certificati compromessi per firmare il loro software maligno e farlo sembrare proveniente da Nvidia stessa.

Ottieni i certificati SSL oggi stesso

Sebbene attacchi di questa portata siano poco comuni, i danni alla sicurezza e alla reputazione potrebbero essere significativi. La lezione appresa da quest’ultima violazione è semplice: non memorizzare certificati e chiavi di firma del codice sul tuo server!

Il forum CA/Browser ha reagito rapidamente e ha modificato l’emissione e l’installazione dei certificati di firma del codice votando per il rilascio su speciali dispositivi hardware di sicurezza fisica a partire dal 15 novembre.

Modifiche alla firma del codice: la panoramica

Il cambiamento in sé non è rivoluzionario, poiché le CA consegnano già i certificati Extended Validation a firma di codice ai clienti su dispositivi USB o moduli di sicurezza hardware (HSM). Presto la stessa procedura si applicherà ai certificati di firma del codice Organization Validation e Individual Validation.

Tecnicamente parlando, l’hardware sicuro includerà dispositivi conformi agli standard FIPS (Federal Information Processing Standards) come FIPS 140-2 Level 2, Common Criteria EAL 4+ o soluzioni di firma (come minimo) come:

  • Moduli di sicurezza hardware (HSM), (dispositivi cloud o fisici)
  • Token di sicurezza, come strumenti hardware USB fisici
  • Servizi di archiviazione e firma delle chiavi

In pratica, non dovrai più generare la richiesta di firma del certificato perché la CA si occuperà di tutti gli aspetti tecnici.

Il motivo della revisione della firma del codice

La maggior parte delle modifiche e dei miglioramenti apportati dal CA/Browser Forum sono dovuti a problemi di sicurezza emergenti che non possono più essere trascurati. Questo particolare non fa eccezione. Dopo alcuni incidenti di alto profilo, il Forum CA/B ha delineato gli standard di sicurezza per la firma del codice nel documento Requisiti di base (BR) per l’emissione e la gestione della firma del codice (versione 2.8), aggiornato tramite Ballot CSC-13 – Aggiornamento dei requisiti di protezione delle chiavi del sottoscrittore.

Di conseguenza, tutti i certificati di firma del codice, indipendentemente dal metodo di convalida, verranno spediti su dispositivi hardware sicuri. Inoltre, dal momento che le CA utilizzano già dispositivi fisici per rilasciare i certificati di firma del codice EV, i cambiamenti dovrebbero essere semplici e immediati.

Le modifiche in arrivo sono confermate nella sezione 16.3.1 Subscriber Private Key Protection del BR dei certificati di firma del codice (versione 2.8). Ecco cosa dice:

“La CA DEVE ottenere una dichiarazione contrattuale da parte del Sottoscrittore che quest’ultimo utilizzerà una delle seguenti opzioni per generare e proteggere le chiavi private del proprio certificato di firma del codice in un modulo crittografico hardware con un fattore di forma unitario certificato conforme almeno a FIPS 140-2 Livello 2 o Common Criteria EAL 4+”.

Risparmia il 10% sui certificati SSL

Come mi devo preparare?

Ufficialmente, l’aggiustamento avverrà martedì 15 novembre 2022, alle ore 12.00 del tempo universale coordinato (UTC). Puoi utilizzare un convertitore di fuso orario per determinare l’ora locale. Tuttavia, come spesso accade, alcune CA come Sectigo e Digicert potrebbero iniziare a distribuire le modifiche prima del previsto per risolvere eventuali problemi prima della scadenza ufficiale. Finora non abbiamo ricevuto alcun aggiornamento da parte delle CA su questo argomento, quindi ti terremo aggiornato.

I nuovi requisiti riguarderanno tutti coloro che acquisteranno un certificato di firma del codice OV o IV dopo la data limite di novembre. Se il tuo certificato scade dopo la scadenza, dovrai riemetterlo secondo le nuove regole.

I certificati di firma del codice esistenti emessi prima del 15 novembre funzioneranno come previsto. Puoi continuare a firmare il tuo software come hai sempre fatto. Dopo l’introduzione delle modifiche, i richiedenti di firma del codice dovranno dichiarare che memorizzeranno le loro chiavi in una delle seguenti opzioni:

  • Un token di sicurezza HSM o USB
  • Una soluzione di generazione e protezione delle chiavi basata sul cloud
  • Un servizio di firma che soddisfi i requisiti delineati nei requisiti di base del forum CA/B.

Considerazioni sul prodotto

I certificati di firma del codice variano a seconda del fornitore, in particolare per quanto tempo rimangono validi e dove viene memorizzata la chiave di firma.

DigiCert and GoGetSSL follow a fixed model. Their certificates are issued for one year, regardless of whether you store the key on a CA-provided token or inside your own HSM.

Sectigo (Comodo) segue una strada più flessibile. Permette ai certificati di durare fino a tre anni, ma solo se la chiave privata è conservata nel tuo HSM. Se invece opti per un token emesso da una CA, il certificato ha una durata limitata a un anno.

Queste differenze influiscono direttamente sulla gestione delle chiavi e sulla frequenza di rinnovo del certificato.

Pensieri finali

Le CA devono ancora definire tutti i dettagli per l’emissione dei certificati di firma del codice dopo il lancio di novembre. Ci aspettiamo un processo di acquisto semplificato, simile a quello con cui si ottengono i certificati di firma del codice EV. Le CA forniranno anche i token di sicurezza per la tua chiave privata, ma avrai anche la possibilità di utilizzare la tua se soddisfa tutti i requisiti di conformità.

Vettore amministratore di sistema creato da macrovector – www.freepik.com

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.