As últimas alterações na regulamentação do Fórum CA/Browser exigem que os usuários instalem certificados de assinatura de código em módulos de segurança de hardware (tokens físicos de hardware). Organizações e indivíduos que buscam certificados de assinatura de código de Validação de Organização (OV) ou Validação Individual (IV) podem comprar tokens de certificado pré-configurados ou solicitar um certificado em seus dispositivos de hardware existentes.
Ao adquirir um certificado de assinatura de código, é fundamental selecionar o método de entrega adequado durante a compra, pois você não poderá alterar essa escolha posteriormente.
O que é um token eletrônico?
Um token eletrônico (e-token) é um pequeno dispositivo de hardware para autenticação segura e criptografia de dados. Ele é frequentemente utilizado em tecnologia da informação e segurança cibernética para fornecer uma camada adicional de segurança. Esse dispositivo gera senhas de uso único (OTPs) ou chaves criptográficas para acesso a sistemas, redes ou aplicativos protegidos. Indivíduos e organizações geralmente usam tokens eletrônicos para proteger dados confidenciais e impedir o acesso não autorizado.
O que é um módulo de segurança de hardware (HSM)?
Um módulo de segurança de hardware (HSM) é um dispositivo de hardware inviolável que oferece serviços criptográficos, gerenciamento de chaves e armazenamento seguro de dados confidenciais, como chaves criptográficas, certificados e assinaturas digitais. Ele protege os ativos digitais essenciais, protegendo-os contra acesso não autorizado.
Os HSMs são dispositivos isolados e autônomos, o que significa que estão separados do sistema host e são menos suscetíveis a ataques baseados em software ao sistema operacional. Vários setores usam HSMs, incluindo finanças, governo, saúde e tecnologia, nos quais são essenciais requisitos rigorosos de segurança.
Como os HSMs aprimoram a segurança da assinatura de código?
Os módulos de segurança de hardware aumentam a segurança dos certificados de assinatura de código das seguintes maneiras:
- Proteção de chaves: Os HSMs armazenam chaves privadas em um ambiente de hardware seguro, o que torna extremamente difícil para os invasores acessá-las ou roubá-las. As chaves privadas nunca deixam o HSM, reduzindo o risco de exposição.
- Assinatura segura: O processo de assinatura ocorre dentro do HSM, protegendo o processo de assinatura de código contra ameaças externas.
- Resistência à violação: Os HSMs são resistentes a violações, e qualquer tentativa física de acessar ou manipular o dispositivo normalmente destrói as chaves armazenadas, tornando-as inúteis para os invasores.
- Autenticação multifatorial: Muitos HSMs oferecem suporte à autenticação multifatorial para administradores, acrescentando uma camada extra de segurança ao acessar operações criptográficas.
Métodos de entrega de certificados de assinatura de código
1. Token + frete
Recomendado para a maioria dos usuários
O método Token + Shipping permite que você solicite um token pré-configurado diretamente da autoridade de certificação. O preço de compra inclui o token de hardware e as taxas de remessa. Essa opção é ideal para a maioria dos usuários, pois oferece simplicidade e conveniência na aquisição e implementação do certificado. Abaixo estão listadas as taxas de envio de tokens:
Sectigo/Comodo
- Token + Frete expresso (EUA) $147.00 USD
- Token + frete internacional $137,00 USD
- Token + frete padrão (EUA) $95,00 USD
Digicert e GoGetSSL
- Token + frete (EUA e internacional) $126 USD
2. Instalação em um HSM ou token existente
Para usuários avançados
Para aqueles que já possuem um módulo de segurança de hardware compatível, o método “Install on Existing HSM or Token” está disponível. Você pode instalar o certificado de assinatura de código em seu dispositivo de hardware se estiver familiarizado com o software associado. Ao solicitar certificados Sectigo/Comodo, você deve fornecer um Attestation Bundle para seu HSM como requisito.
Esse método é recomendado especificamente para usuários avançados com experiência em gerenciamento de hardware de terceiros, pois o SSL Dragon e a autoridade de certificação não podem oferecer suporte a dispositivos HSM externos. As marcas de HSM compatíveis com esse método devem ser certificadas como FIPS 140 Nível 2, Common Criteria EAL 4+ ou equivalente. As seguintes marcas e tokens de HSM são compatíveis:
Sectigo/Comodo
DigiCert e GoGetSSL
Você pode usar seu próprio token compatível ou instalar o certificado em um HSM existente:
Tokens compatíveis:
- SafeNet eToken 5110 CC para certificados de chave RSA 4096-bit e ECC P-256-bit ou superior.
- SafeNet eToken 5110 FIPS para certificados de chave ECC P-256 e P-384 bits.
- SafeNet eToken 5110+ FIPS para certificados de chave RSA de 4096 bits e ECC P-256 bits ou superior.
Seu próprio HSM:
- Você deve ter um HSM Common Criteria EAL4+ ou FIPS 140-2 nível 2.
- Depois de ter o HSM, envie uma Solicitação de Assinatura de Certificado (CSR) junto com sua solicitação de certificado.
- Após a conclusão, você receberá uma cópia do seu certificado por e-mail.
Aderindo à sua decisão
Depois de concluir a compra, não é possível alterar o método de entrega escolhido. Portanto, considere cuidadosamente suas necessidades e selecione antecipadamente a opção mais adequada. Se precisar de um método de entrega diferente, você poderá cancelar seu pedido por meio do painel da sua conta e comprar outro certificado com a sua opção preferida.
Linha de fundo
Com a evolução das ameaças cibernéticas, as soluções criptográficas tradicionais baseadas em software estão cada vez mais vulneráveis. Os HSMs oferecem uma defesa robusta contra ataques sofisticados. Ao compreender as opções disponíveis e selecionar o método de entrega de certificado adequado, você pode garantir uma aquisição tranquila e eficiente do seu certificado de assinatura de código, protegendo seu software e ativos digitais com medidas de segurança aprimoradas.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10