Certificatele OV Code Signing sunt pentru dezvoltatorii de software ceea ce sunt certificatele SSL pentru un site web. Fără acestea, editorul rămâne necunoscut, iar codul este foarte susceptibil la atacuri cibernetice. Ca în cazul oricărui produs PKI, protejarea cheilor de semnare a codurilor este esențială. Dar, la fel ca în cazul certificatelor SSL obișnuite, uneori cheile ajung în mâinile cui nu trebuie și aduc tot felul de probleme.
Întrebați Nvidia, renumita companie de tehnologie care a văzut recent nu unul, ci două dintre certificatele sale de semnare a codurilor OV au fost furate. Hackerii de la faimosul grup Lapsus$ au folosit certificatele compromise pentru a-și semna software-ul malițios și pentru a-l face să pară că provine chiar de la Nvidia.
Deși atacurile de o asemenea amploare sunt neobișnuite, pagubele pe care le-ar putea aduce la adresa securității și reputației ar putea fi semnificative. Lecția învățată din această ultimă breșă este simplă: nu stocați certificate și chei de semnare de cod pe serverul dumneavoastră!
Forumul CA/Browser a reacționat rapid și a modificat emiterea și instalarea certificatelor de semnare a codurilor, votând pentru emiterea acestora pe dispozitive hardware speciale de securitate fizică începând cu 15 noiembrie.
Modificări ale semnării codurilor – prezentare generală
Schimbarea în sine nu este revoluționară, deoarece autoritățile de certificare oferă deja clienților certificate de semnare a codului de validare extinsă pe dispozitive USB sau module de securitate hardware (HSM). În curând, aceeași procedură se va aplica și certificatelor de semnare a codurilor de validare a organizațiilor și de validare individuală.
Din punct de vedere tehnic, hardware-ul securizat va include dispozitive conforme cu FIPS (Federal Information Processing Standards), cum ar fi FIPS 140-2 Level 2, Common Criteria EAL 4+, sau soluții de semnare (cel puțin) precum:
- Module de securitate hardware (HSM), (dispozitive fizice sau în cloud)
- Jetoane de securitate, cum ar fi instrumente hardware USB fizice
- Servicii de stocare și semnare a cheilor
În practică, nu va mai trebui să generați cererea de semnare a certificatului, deoarece CA se va ocupa de toate aspectele tehnice.
Motivul din spatele revizuirii semnării codului
Cele mai multe modificări și îmbunătățiri ale Forumului CA/Browser sunt determinate de problemele de securitate emergente care nu mai pot fi neglijate. Acesta nu face excepție. După câteva debacle de profil înalt, Forumul CA/B a subliniat standardele de securitate pentru semnarea codurilor în documentul Cerințe de bază (BR) pentru emiterea și gestionarea semnării codurilor (versiunea 2.8), actualizată prinBuletinul de vot CSC-13 – Actualizarea cerințelor privind protecția cheilor de abonat.
Ca urmare, toate certificatele de semnare a codului, indiferent de metoda de validare, vor fi livrate pe dispozitive hardware securizate. Și, din moment ce autoritățile de certificare utilizează deja dispozitive fizice pentru a furniza certificate de semnare a codurilor EV, schimbările ar trebui să fie simple și ușoare.
Modificările viitoare sunt confirmate în secțiunea 16.3.1 Protecția cheii private a abonatului din certificatele de semnare a codului BR (versiunea 2.8). Iată ce prevede:
“AC TREBUIE să obțină o declarație contractuală din partea abonatului că acesta va utiliza una dintre următoarele opțiuni pentru a genera și proteja cheile private ale certificatului de semnare a codurilor într-un modul criptografic hardware cu un factor de formă de proiectare unitară certificat ca fiind conform cu cel puțin FIPS 140-2 nivel 2 sau Common Criteria EAL 4+.”
Cum ar trebui să mă pregătesc?
Oficial, ajustarea va avea loc marți, 15 noiembrie 2022, la ora 12. a.m Timp universal coordonat (UTC). Puteți utiliza un convertor de fus orar pentru a determina ora locală. Cu toate acestea, așa cum se întâmplă adesea, unele autorități de certificare precum Sectigo și Digicert pot începe să implementeze modificările înainte de termen pentru a rezolva orice probleme potențiale înainte de termenul limită oficial. Până în prezent, nu am primit nicio actualizare din partea autorităților competente în această privință, așa că vă vom ține la curent.
Noile cerințe îi vor afecta pe toți cei care cumpără un certificat de semnare a codurilor OV sau IV după data țintă din noiembrie. În cazul în care certificatul expiră după termenul limită, va trebui să îl eliberați din nou în conformitate cu noile norme.
Certificatele de semnare a codurilor existente, emise înainte de 15 noiembrie, vor funcționa conform destinației. Puteți continua să vă semnați software-ul așa cum ați făcut-o întotdeauna. După ce modificările vor avea loc, solicitanții de semnare a codurilor vor trebui să afirme că își vor stoca cheile în una dintre următoarele opțiuni:
- Un token de securitate HSM sau USB
- O soluție de generare și protecție a cheilor bazată pe cloud
- Un serviciu de semnare care îndeplinește cerințele descrise în cerințele de bază ale CA/B Forum Baseline Requirements.
Concluzie
Autoritățile de certificare trebuie să stabilească toate detaliile pentru emiterea certificatelor de semnare a codurilor după lansarea din noiembrie. Ne așteptăm la un proces de achiziție simplificat, similar cu modul în care sunt obținute certificatele de semnare a codurilor EV. Autoritățile de certificare vor furniza, de asemenea, token-urile de securitate pentru cheia privată, dar veți avea, de asemenea, opțiunea de a vă folosi propriul token, dacă acesta îndeplinește toate cerințele de conformitate.
Administrator de sistem vector creat de macrovector – www.freepik.com
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10
