Qual método de entrega de certificado de assinatura de código escolher?

As últimas alterações na regulamentação do Fórum CA/Browser exigem que os usuários instalem certificados de assinatura de código em módulos de segurança de hardware (tokens físicos de hardware). Organizações e indivíduos que buscam certificados de assinatura de código de Validação de Organização (OV) ou Validação Individual (IV) podem comprar tokens de certificado pré-configurados ou solicitar um certificado em seus dispositivos de hardware existentes.

Ao adquirir um certificado de assinatura de código, é fundamental selecionar o método de entrega adequado durante a compra, pois você não poderá alterar essa escolha posteriormente.

O que é um token eletrônico?

Um token eletrônico (e-token) é um pequeno dispositivo de hardware para autenticação segura e criptografia de dados. Ele é frequentemente utilizado em tecnologia da informação e segurança cibernética para fornecer uma camada adicional de segurança. Esse dispositivo gera senhas de uso único (OTPs) ou chaves criptográficas para acesso a sistemas, redes ou aplicativos protegidos. Indivíduos e organizações geralmente usam tokens eletrônicos para proteger dados confidenciais e impedir o acesso não autorizado.

O que é um módulo de segurança de hardware (HSM)?

Um módulo de segurança de hardware (HSM) é um dispositivo de hardware inviolável que oferece serviços criptográficos, gerenciamento de chaves e armazenamento seguro de dados confidenciais, como chaves criptográficas, certificados e assinaturas digitais. Ele protege os ativos digitais essenciais, protegendo-os contra acesso não autorizado.

Os HSMs são dispositivos isolados e autônomos, o que significa que estão separados do sistema host e são menos suscetíveis a ataques baseados em software ao sistema operacional. Vários setores usam HSMs, incluindo finanças, governo, saúde e tecnologia, nos quais são essenciais requisitos rigorosos de segurança.

Como os HSMs aprimoram a segurança da assinatura de código?

Os módulos de segurança de hardware aumentam a segurança dos certificados de assinatura de código das seguintes maneiras:

• Proteção de chaves: Os HSMs armazenam chaves privadas em um ambiente de hardware seguro, o que torna extremamente difícil para os invasores acessá-las ou roubá-las. As chaves privadas nunca deixam o HSM, reduzindo o risco de exposição.
• Assinatura segura: O processo de assinatura ocorre dentro do HSM, protegendo o processo de assinatura de código contra ameaças externas.
• Resistência à violação: Os HSMs são resistentes a violações, e qualquer tentativa física de acessar ou manipular o dispositivo normalmente destrói as chaves armazenadas, tornando-as inúteis para os invasores.
• Autenticação multifatorial: Muitos HSMs oferecem suporte à autenticação multifatorial para administradores, acrescentando uma camada extra de segurança ao acessar operações criptográficas.

Métodos de entrega de certificados de assinatura de código

1. Token + frete

Recomendado para a maioria dos usuários

O método Token + Shipping permite que você solicite um token pré-configurado diretamente da autoridade de certificação. O preço de compra inclui o token de hardware e as taxas de remessa. Essa opção é ideal para a maioria dos usuários, pois oferece simplicidade e conveniência na aquisição e implementação do certificado. Abaixo estão listadas as taxas de envio de tokens:

Sectigo/Comodo

• Token + Frete expresso (EUA) $147.00 USD
• Token + frete internacional $137,00 USD
• Token + frete padrão (EUA) $95,00 USD

Digicert e GoGetSSL

• Token + frete (EUA e internacional) $126 USD

2. Instalação em um HSM ou token existente

Para usuários avançados

Para aqueles que já possuem um módulo de segurança de hardware compatível, o método “Install on Existing HSM or Token” está disponível. Você pode instalar o certificado de assinatura de código em seu dispositivo de hardware se estiver familiarizado com o software associado. Ao solicitar certificados Sectigo/Comodo, você deve fornecer um Attestation Bundle para seu HSM como requisito.

Esse método é recomendado especificamente para usuários avançados com experiência em gerenciamento de hardware de terceiros, pois o SSL Dragon e a autoridade de certificação não podem oferecer suporte a dispositivos HSM externos. As marcas de HSM compatíveis com esse método devem ser certificadas como FIPS 140 Nível 2, Common Criteria EAL 4+ ou equivalente. As seguintes marcas e tokens de HSM são compatíveis:

Sectigo/Comodo

• Yubikey 5 FIPS
• LUNA Network Attached HSM, versão 7+

DigiCert e GoGetSSL

Você pode usar seu próprio token compatível ou instalar o certificado em um HSM existente:

Tokens compatíveis:

• SafeNet eToken 5110 CC para certificados de chave RSA 4096-bit e ECC P-256-bit ou superior.
• SafeNet eToken 5110 FIPS para certificados de chave ECC P-256 e P-384 bits.
• SafeNet eToken 5110+ FIPS para certificados de chave RSA de 4096 bits e ECC P-256 bits ou superior.

Seu próprio HSM:

• Você deve ter um HSM Common Criteria EAL4+ ou FIPS 140-2 nível 2.
• Depois de ter o HSM, envie uma Solicitação de Assinatura de Certificado (CSR) junto com sua solicitação de certificado.
• Após a conclusão, você receberá uma cópia do seu certificado por e-mail.

Aderindo à sua decisão

Depois de concluir a compra, não é possível alterar o método de entrega escolhido. Portanto, considere cuidadosamente suas necessidades e selecione antecipadamente a opção mais adequada. Se precisar de um método de entrega diferente, você poderá cancelar seu pedido por meio do painel da sua conta e comprar outro certificado com a sua opção preferida.

Linha de fundo

Com a evolução das ameaças cibernéticas, as soluções criptográficas tradicionais baseadas em software estão cada vez mais vulneráveis. Os HSMs oferecem uma defesa robusta contra ataques sofisticados. Ao compreender as opções disponíveis e selecionar o método de entrega de certificado adequado, você pode garantir uma aquisição tranquila e eficiente do seu certificado de assinatura de código, protegendo seu software e ativos digitais com medidas de segurança aprimoradas.