Os certificados OV Code Signing estão para os desenvolvedores de software como os certificados SSL estão para um site. Sem eles, o editor permanece desconhecido, enquanto o código é altamente suscetível a ataques cibernéticos. Como acontece com qualquer produto de PKI, é essencial proteger as chaves de assinatura de código. Mas, assim como acontece com os certificados SSL comuns, às vezes as chaves caem em mãos erradas e causam todo tipo de problema.
Basta perguntar à Nvidia, a renomada empresa de tecnologia que recentemente viu não um, mas dois de seus certificados de assinatura de código OV roubados. Os hackers do famoso grupo Lapsus$ usaram os certificados comprometidos para assinar seu software malicioso e fazer com que ele parecesse vir da própria Nvidia.
Embora ataques dessa magnitude sejam incomuns, seus danos à segurança e à reputação podem ser significativos. A lição aprendida com essa última violação é simples: não armazene certificados e chaves de assinatura de código em seu servidor!
O fórum CA/Navegador reagiu rapidamente e alterou a emissão e a instalação de certificados de assinatura de código, votando para emiti-los em dispositivos especiais de hardware de segurança física a partir de 15 de novembro.
Alterações na assinatura de código – visão geral
A mudança em si não é inovadora, pois as CAs já fornecem os certificados de assinatura de código de validação estendida aos clientes em dispositivos USB ou módulos de segurança de hardware (HSM). Em breve, o mesmo procedimento se aplicará aos certificados de assinatura de código de Validação de Organização e Validação Individual.
Em termos técnicos, o hardware seguro incluirá dispositivos compatíveis com FIPS (Federal Information Processing Standards), como FIPS 140-2 Nível 2, Common Criteria EAL 4+ ou soluções de assinatura (no mínimo) como:
- Módulos de segurança de hardware (HSMs), (dispositivos físicos ou na nuvem)
- Tokens de segurança, como ferramentas físicas de hardware USB
- Serviços de armazenamento e assinatura de chaves
Na prática, você não precisará mais gerar a Solicitação de Assinatura de Certificado, pois a CA cuidará de toda a parte técnica.
O motivo por trás da revisão da assinatura de código
A maioria das alterações e melhorias do Fórum CA/Browser é motivada por problemas de segurança emergentes que não podem mais ser negligenciados. Este em particular não é uma exceção. Depois de alguns fracassos de alto nível, o Fórum CA/B delineou os padrões de segurança de assinatura de código no Requisitos básicos (BR) para emissão e gerenciamento de assinatura de código (versão 2.8), atualizados via Votação CSC-13 – Atualização dos requisitos de proteção de chaves do assinante.
Como resultado, todos os certificados de assinatura de código, independentemente do método de validação, serão enviados em dispositivos de hardware seguros. E, como as CAs já usam dispositivos físicos para fornecer certificados de assinatura de código EV, as mudanças devem ser fáceis e diretas.
As próximas alterações são confirmadas na seção 16.3.1 Proteção da chave privada do assinante dos certificados de assinatura de código BR (versão 2.8). Veja o que ele diz:
“A AC DEVE obter uma declaração contratual do Assinante de que o Assinante usará uma das seguintes opções para gerar e proteger suas Chaves Privadas de Certificado de Assinatura de Código em um Módulo de Criptografia de Hardware com um fator de forma de design de unidade certificado como estando em conformidade com, pelo menos, FIPS 140-2 Nível 2 ou Common Criteria EAL 4+.”
Como devo me preparar?
Oficialmente, o ajuste ocorrerá na terça-feira, 15 de novembro de 2022, às 12 horas. a.m Tempo Universal Coordenado (UTC). Você pode usar um conversor de fuso horário para determinar sua hora local. No entanto, como costuma acontecer, algumas CAs, como a Sectigo e a Digicert, podem começar a implementar as alterações antes do previsto para resolver possíveis problemas antes do prazo oficial. Até o momento, não recebemos nenhuma atualização das CAs sobre esse assunto, portanto, manteremos você informado.
Os novos requisitos afetarão qualquer pessoa que comprar um certificado de assinatura de código OV ou IV após a data limite de novembro. Se o seu certificado expirar após o prazo, você terá que reemiti-lo de acordo com as novas regras.
Os certificados de assinatura de código existentes emitidos antes de 15 de novembro funcionarão como previsto. Você pode continuar assinando seu software como sempre fez. Após as alterações, os solicitantes de assinatura de código terão que afirmar que armazenarão suas chaves em uma das seguintes opções:
- Um token de segurança HSM ou USB
- Uma solução de proteção e geração de chaves baseada na nuvem
- Um serviço de assinatura que atende aos requisitos descritos nos Requisitos básicos do Fórum da CA/B
Considerações finais
As CAs ainda não definiram todos os detalhes para a emissão dos certificados de assinatura de código após a implementação em novembro. Esperamos um processo de compra simplificado, semelhante à forma como os certificados de assinatura de código EV são obtidos. As CAs também fornecerão os tokens de segurança para a sua chave privada, mas você também terá a opção de usar a sua própria chave se ela atender a todos os requisitos de conformidade.
Vetor de administrador de sistema criado por macrovector – www.freepik.com
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
