Metodele de Livrare a Certificatelor de Semnare a Codului

Cele mai recente modificări ale reglementărilor CA/Browser Forum obligă utilizatorii să instaleze certificatele de semnare a codului pe modulele de securitate hardware (token-uri hardware fizice). Organizațiile și persoanele fizice care doresc certificate de semnare a codului cu validare a organizației (OV) sau cu validare individuală (IV) pot achiziționa dispozitive USB preconfigurate sau pot comanda un certificat pentru dispozitivele hardware existente.

Atunci când achiziționați un certificat de semnare a codului, este imperativ să selectați metoda de livrare potrivită în timpul achiziției, deoarece nu puteți modifica această alegere ulterior.

Ce este un dispozitiv criptografic (token) electronic?

Un token electronic (e-token) este un dispozitiv hardware de mici dimensiuni pentru autentificarea sigură și criptarea datelor. Este adesea utilizat în domeniul tehnologiei informației și al securității cibernetice pentru a oferi un nivel suplimentar de securitate. Acest dispozitiv generează parole de unică folosință sau chei criptografice pentru accesarea sistemelor, rețelelor sau aplicațiilor protejate. Persoanele fizice și organizațiile folosesc în mod obișnuit jetoane electronice pentru a proteja datele sensibile și a preveni accesul neautorizat.

Ce este un modul de securitate hardware (HSM)?

Un modul de securitate hardware (HSM) este un dispozitiv hardware rezistent la manipulare care oferă servicii criptografice, gestionarea cheilor și stocarea securizată a datelor sensibile, cum ar fi cheile criptografice, certificatele și semnăturile digitale. Acesta protejează activele digitale esențiale de accesul neautorizat.

HSM-urile sunt dispozitive izolate, autonome, ceea ce înseamnă că sunt separate de sistemul gazdă și sunt mai puțin susceptibile la atacurile bazate pe software asupra sistemului de operare. Diferite industrii utilizează HSM-uri, inclusiv în domeniul financiar, guvernamental, al asistenței medicale și al tehnologiei, unde sunt esențiale cerințele stricte de securitate.

Cum îmbunătățesc HSM-urile securitatea semnării codurilor?

Modulele de securitate hardware sporesc securitatea certificatelor de semnare a codului în următoarele moduri:

• Cheia de protecție: HSM-urile stochează cheile private într-un mediu hardware securizat, ceea ce face extrem de dificil pentru atacatori să le acceseze sau să le fure. Cheile private nu părăsesc niciodată HSM, ceea ce reduce riscul de expunere.
• Semnarea securizată: Procesul de semnare are loc în interiorul HSM, protejând procesul de semnare a codului împotriva amenințărilor externe.
• Rezistență la manipulare: HSM-urile sunt rezistente la falsificare, iar orice încercare fizică de accesare sau manipulare a dispozitivului distruge de obicei cheile stocate, făcându-le inutile pentru atacatori.
• Autentificarea cu mai mulți factori: Multe HSM-uri acceptă autentificarea multifactorială pentru administratori, adăugând un nivel suplimentar de securitate la accesarea operațiunilor criptografice.

Metode de livrare a certificatelor de semnare a codurlui

1. Token + Livrare

Recomandat pentru majoritatea utilizatorilor

Metoda Token + Livrare vă permite să comandați un token preconfigurat direct de la autoritatea de certificare. Prețul de achiziție include atât dispozitivul hardware, cât și taxele de transport. Această opțiune este ideală pentru majoritatea utilizatorilor, oferind simplitate și comoditate în achiziționarea și configurarea certificatului. Mai jos sunt enumerate taxele de livrare:

Sectigo/Comodo

• Token + Expediere accelerată (SUA) $147.00 USD
• Token + Livrare internațională $137.00 USD
• Token + Livrare standard (SUA) $95.00 USD

Digicert și GoGetSSL

• Token + Livrare (SUA și internațional) $126 USD

2. Instalarea pe HSM sau Token existent

Pentru utilizatorii avansați

Pentru cei care posedă deja un modul de securitate hardware compatibil, este disponibilă metoda instalării pe dispozitivul dvs. Puteți instala certificatul de semnare a codului pe dispozitivul hardware dacă sunteți familiarizat cu software-ul asociat. Atunci când comandați certificate Sectigo/Comodo, trebuie să furnizați un pachet de atestare pentru HSM-ul dvs.

Această metodă este recomandată în special pentru utilizatorii avansați cu experiență în gestionarea hardware-ului de la terți, deoarece SSL Dragon și autoritatea de certificare nu pot oferi asistență pentru dispozitivele HSM externe. Mărcile HSM acceptate pentru această metodă trebuie să fie certificate ca fiind FIPS 140 Level 2, Common Criteria EAL 4+ sau echivalente. Sunt acceptate următoarele mărci și dispozitive HSM:

Sectigo/Comodo

• Yubikey 5 FIPS
• LUNA Network Attached HSM, versiunea 7+.

DigiCert și GoGetSSL

Puteți utiliza propriul token acceptat sau puteți instala certificatul pe un HSM existent:

Token-uri acceptate:

• SafeNet eToken 5110 CC pentru certificate cu cheie RSA 4096 biți și ECC P-256 biți sau mai mare.
• SafeNet eToken 5110 FIPS pentru certificate cu cheie ECC P-256 și P-384 biți.
• SafeNet eToken 5110+ FIPS pentru certificate cu cheie RSA 4096 biți și ECC P-256 biți sau mai mare.

Propriul dvs. HSM:

• Trebuie să aveți un HSM Common Criteria EAL4+ sau FIPS 140-2 nivel 2.
• Trimiteți o cerere de semnare a certificatului (CSR) împreună cu cererea de certificat.
• După finalizarea configurării veți primi o copie a certificatului prin e-mail.

Respectarea deciziei dumneavoastră

Odată ce ați finalizat achiziția, nu mai puteți schimba metoda de livrare aleasă. Prin urmare, analizați cu atenție cerințele dumneavoastră și selectați în prealabil cea mai potrivită opțiune. Dacă aveți nevoie de o altă metodă de livrare, puteți să vă anulați comanda prin intermediul tabloului de bord al contului dvs. și să achiziționați un alt certificat cu alegerea dvs. preferată.

Concluzie

Pe măsură ce amenințările cibernetice evoluează, soluțiile criptografice tradiționale bazate pe software sunt din ce în ce mai vulnerabile. HSM-urile oferă o apărare solidă împotriva atacurilor sofisticate. Înțelegând opțiunile disponibile și selectând metoda de livrare a сertificatului adecvată, puteți asigura o achiziție eficientă și fără probleme a certificatului de semnare a сodului, protejându-vă software-ul și activele digitale cu măsuri de securitate îmbunătățite.