hero-faq-1

Code Signing

Qual è la differenza tra firma del codice e certificati SSL?

I certificati SSL proteggono le comunicazioni tra un client (browser) e un server (sito web) criptando i dati trasmessi, mentre i certificati Code signing firmano digitalmente software e script per verificarne l’autenticità e l’integrità.

Copia link

Come superare la validazione estesa per i certificati di firma del codice Sectigo/Comodo?

Ecco i requisiti per ottenere un certificato di firma del codice EV (Extended Validation) da Sectigo/Comodo:

  1. Moduli di iscrizione: Completa i moduli di iscrizione necessari per il certificato.
  2. Autenticazione dell’organizzazione: Dimostra la legittimità dell’organizzazione come entità commerciale autentica.
  3. Esistenza operativa: Almeno tre anni di attività e registrazione.
  4. Indirizzo fisico: Fornisci un indirizzo fisico valido per la verifica.
  5. Verifica del telefono: Verifica il numero di telefono dell’organizzazione attraverso database governativi o di terze parti.
  6. Chiamata di verifica finale: Ricevi una chiamata dalla CA per convalidare i dettagli dell’organizzazione e l’autenticità.

Per una spiegazione approfondita di ogni passaggio, consulta la nostra guida sulla convalida estesa dei certificati Sectigo/Comodo.

Copia link

Come superare la convalida dell’organizzazione per i certificati Sectigo/Comodo Code Signing?

Il superamento dell’Organization Validation (OV) per un certificato di firma del codice rilasciato da Sectigo richiede quanto segue:

  • Autenticazione dell’identità
  • Autenticazione dell’organizzazione
  • Presenza della località
  • Verifica telefonica
  • Chiamata di verifica finale

Per completare ogni passaggio, segui la nostra guida su come convalidare un certificato Sectigo OV Code Signing.

Copia link

Revoca dei certificati di firma del codice

La revoca del certificato è il processo di invalidazione di un certificato di firma del codice prima della data di scadenza prevista. È una best practice standard del settore software revocare qualsiasi certificato di firma del codice associato a una violazione della sicurezza, in quanto tale certificato potrebbe potenzialmente contenere codice compromesso.

La Dichiarazione sulle pratiche di certificazione di Sectigo e il contratto di licenza prevedono che l’azienda revochi qualsiasi certificato che, a sua conoscenza, possa essere utilizzato per attività illegali o disoneste.

Poiché lo stesso certificato può essere utilizzato sia per scopi giusti che sbagliati, Sectigo si affida a terze parti credibili per fornire informazioni corrette sui certificati Sectigo utilizzati per il malware.

Sectigo può revocare il certificato di firma del codice nei seguenti casi:

  • Un criminale informatico ruba o altera un certificato di firma del codice valido
  • Un appaltatore o un dipendente utilizza un certificato valido per scopi ingannevoli all’insaputa dell’azienda.
  • Il codice, il sito web o il software dell’azienda sono infettati da malware o da altri attacchi informatici.

In qualità di Autorità di Certificazione, Sectigo non può fare affidamento sull’auto-segnalazione di falsi positivi da parte dei proprietari dei certificati di firma del codice, perché potrebbero non sapere che i loro certificati o beni digitali sono compromessi.

Fonte: Base di conoscenza di Sectigo

Copia link

Cos’è un certificato di firma del codice?

Un certificato di firma del codice è un file digitale che verifica l’autenticità e l’integrità di un software firmandolo digitalmente, garantendo che non sia stato manomesso e che provenga da una fonte affidabile. Ecco come funziona un certificato di firma del codice.

Copia link

Certificati di firma del codice: Requisiti di base per la lunghezza della chiave

A partire dal 1 giugno 2021, e in conformità con i requisiti della CA/Browser Forum Code-signing Baseline RequirementsSectigo richiederà che le chiavi RSA abbiano una dimensione minima di 3072 bit.

Quando generi chiavi e CSR per la firma dei certificati, assicurati di scegliere una chiave RSA con una dimensione di 3072 o 4096 bit.

Solo la dimensione dei tasti deve cambiare, il resto del processo rimane invariato. I certificati RSA a 2048 bit esistenti continueranno a funzionare e non dovranno essere modificati.

I certificati richiesti con chiavi ECC (a curva ellittica) non sono interessati e Sectigo continuerà a firmare certificati con chiavi che utilizzano le curve NIST P-256 e P-384.

Fonte: Base di conoscenza di Sectigo

Copia link

Come riemettere un certificato di firma del codice Sectigo/Comodo?

Ecco i passi che devi compiere per riemettere il tuo certificato Sectigo/Comodo Code Signing:

1) Accedi a https://secure.trust-provider.com/products/frontpage?area=ssl utilizzando il nome utente e la password che hai usato al momento della configurazione iniziale del tuo certificato Sectigo/Comodo Code Signing;
2) Una volta effettuato l’accesso, trova il pulsante “Sostituisci” e cliccalo;
3) Inizierai il processo di riemissione del tuo certificato Sectigo/Comodo Code Signing.
4) Segui i passaggi e le istruzioni successive, fino a completare la riemissione del certificato Sectigo Code Signing.

Copia link

Come trovare la chiave privata del mio certificato di firma del codice?

A partire dal 1° giugno 2023, gli standard del settore impongono di conservare le chiavi private dei certificati di firma del codice su hardware certificato FIPS 140 Livello 2 e Common Criteria EAL 4+. Questo cambiamento migliora la sicurezza, allineandosi agli standard di firma del codice EV. Le autorità di certificazione non possono più supportare la generazione di chiavi basata su browser o installazioni su laptop/server. Le chiavi private devono trovarsi su token/HSM certificati FIPS 140-2 Livello 2 o Common Criteria EAL 4+. Per firmare il codice, accedi al token/HSM e utilizza le credenziali del certificato memorizzato.

In linea con le nuove linee guida, la tua chiave privata dovrebbe trovarsi sul token spedito dalla CA o sul tuo modulo di sicurezza hardware.

Copia link

Ho aggiunto il mio telefono al mio elenco DUNS, ma ancora non è stato convalidato. Perché?

Alcune autorità di certificazione (in particolare Sectigo e DigiCert) potrebbero chiederti di aggiornare o aggiungere il tuo numero di telefono all’elenco DUNS della tua azienda, come parte del processo di convalida aziendale o estesa.

Dopo aver contattato Dun & Bradstreet e aver aggiunto il tuo numero di telefono all’elenco DUNS della tua azienda, Dun & Bradstreet potrebbe impiegare dai 5 ai 40 giorni per rendere pubblico l’aggiornamento dell’elenco DUNS. Quando parli al telefono con Dun & Bradstreet, potrebbero dirti che hanno aggiunto o aggiornato il tuo numero di telefono. Tuttavia, hanno solo avviato il processo. Il tuo numero di telefono apparirà sul sito web di Dun & Bradstreet(https://www.dandb.com/) tra i 5 e i 40 giorni.

Saprai che il tuo elenco DUNS è stato realmente aggiornato solo quando riceverai un messaggio di posta elettronica da Dun & Bradstreet che ti comunica che il tuo profilo DUNS è stato aggiornato con successo. Il tuo numero di telefono inizierà a comparire nell’elenco DUNS solo dopo aver ricevuto questa e-mail. Inoltre, le autorità di certificazione (come Sectigo e DigiCert) possono verificare il tuo numero di telefono sulla base del tuo elenco DUNSsolo quando il tuo numero di telefono è disponibile al pubblico. Per questo motivo tu o noi dovremo contattare l’Autorità di Certificazione chiedendo di verificare il tuo elenco DUNS solo dopo aver ricevuto la conferma via e-mail.

In passato, abbiamo chiesto ai rappresentanti del Dipartimento di Convalida di Sectigo e DigiCert di contattare direttamente Dun & Bradstreet e di verificare il numero di telefono del nostro cliente con Dun & Bradstreet. Lo abbiamo fatto dopo che i nostri clienti ci hanno comunicato all’indirizzodi aver aggiunto o aggiornato il loro numero di telefono nel loro elenco DUNS. Ogni volta, i rappresentanti di Sectigo e DigiCert ci hanno detto che l’aggiornamento dell’elenco DUNS dei nostri clienti è “in corso” e “non è ancora stato completato” e ci hanno consigliato di ricontattare Dun & Bradstreet quando i clienti riceveranno un messaggio e-mail da Dun & Bradstreet che confermerà l’aggiornamento del loro elenco DUNS.

Se 5-40 giorni sono troppi, ti consigliamo di scegliere altri metodi per convalidare la tua azienda e i tuoi numeri di telefono, come ad esempio una lettera legale scritta da un notaio, un avvocato o un commercialista. Questo metodo ti permetterà di superare la convalida commerciale o estesa entro 1-2 giorni.

Copia link