Сертификаты OV Code Signing для разработчиков программного обеспечения – это то же самое, что SSL-сертификаты для веб-сайтов. Без них издатель остается неизвестным, а код очень восприимчив к кибератакам. Как и в случае с любым продуктом PKI, защита ключей подписи кодов очень важна. Но, как и в случае с обычными SSL-цертификатами, иногда ключи попадают в чужие руки и приносят всевозможные неприятности.
Просто спросите Nvidia, известную технологическую компанию, у которой недавно украли не один, а два сертификата OV. два сертификата подписи кода OV были украдены. Хакеры из печально известной группы Lapsus$ использовали скомпрометированные сертификаты для подписи своих вредоносных программ и придания им вида, будто они исходят от самой компании Nvidia.
Хотя атаки такого масштаба – редкость, их ущерб для безопасности и репутации может быть значительным. Урок, извлеченный из этого последнего взлома, прост: не храните сертификаты и ключи подписи кода на своем сервере!
Форум CA/Browser быстро отреагировал и внес изменения в порядок выдачи и установки сертификатов подписи кода, проголосовав за то, чтобы с 15 ноября выдавать их на специальных аппаратных устройствах физической защиты.
Изменения в кодовых подписях – обзор
Само по себе изменение не является революционным, поскольку центры сертификации уже поставляют клиентам сертификаты с кодовой подписью Extended Validation на USB-устройствах или аппаратных модулях безопасности (HSM). Вскоре эта же процедура будет применяться к сертификатам подписи кода Organization Validation и Individual Validation.
С технической точки зрения, защищенное оборудование должно включать устройства, соответствующие требованиям FIPS (Федеральных стандартов обработки информации), такие как FIPS 140-2 Level 2, Common Criteria EAL 4+, или решения для подписи (как минимум), например:
- Аппаратные модули безопасности (HSM), (облачные или физические устройства)
- Жетоны безопасности, такие как физические аппаратные средства USB
- Услуги по хранению и подписанию ключей
На практике Вам больше не придется генерировать запрос на подписание сертификата, поскольку ЦС позаботится обо всей технической стороне.
Причина пересмотра системы подписи кода
Большинство изменений и улучшений на Форуме CA/Browser Forum вызваны появляющимися проблемами безопасности, которые больше нельзя игнорировать. Этот экземпляр не исключение. После нескольких громких провалов Форум CA/B изложил стандарты безопасности подписания кода в Базовые требования (BR) к выпуску и управлению подписанием кода (версия 2.8), обновленные посредством Бюллетень CSC-13 – Обновление требований к защите ключей подписчиков.
В результате все сертификаты подписи кода, независимо от метода проверки, будут поставляться на защищенных аппаратных устройствах. А поскольку центры сертификации уже используют физические устройства для доставки сертификатов подписи кода EV, изменения должны быть плавными и простыми.
Грядущие изменения подтверждены в разделе 16.3.1 Защита закрытого ключа подписчика сертификатов подписи кода BR (версия 2.8). Вот что в нем говорится:
“УЦ ДОЛЖЕН получить от подписчика договорное заверение, что подписчик будет использовать один из следующих вариантов для генерации и защиты личных ключей сертификата подписи кода в аппаратном криптомодуле с форм-фактором устройства, сертифицированном как соответствующий, по крайней мере, FIPS 140-2 Level 2 или Common Criteria EAL 4+.”
Как я должен подготовиться?
Официально корректировка произойдет во вторник, 15 ноября 2022 года, в 12 часов. A.m Всемирное координированное время (UTC). Вы можете использовать конвертер часовых поясов чтобы определить Ваше местное время. Однако, как это часто бывает, некоторые центры сертификации, такие как Sectigo и Digicert, могут начать внедрять изменения раньше срока, чтобы решить все возможные проблемы до наступления официального срока. Пока что мы не получили никаких обновлений от ЦС по этому вопросу, поэтому мы будем держать Вас в курсе событий.
Новые требования коснутся всех, кто приобретет сертификат подписи кода OV или IV после ноябрьской даты. Если срок действия Вашего сертификата истекает после установленного срока, Вам придется выпустить его заново в соответствии с новыми правилами.
Существующие сертификаты подписи кода, выпущенные до 15 ноября, будут работать как положено. Вы можете продолжать подписывать свои программы так же, как и раньше. После внесения изменений кандидаты на подписание кодов должны будут подтвердить, что они будут хранить свои ключи в одном из следующих вариантов:
- HSM или USB-токен безопасности
- Облачное решение для генерации и защиты ключей
- Служба подписи, отвечающая требованиям, изложенным в Базовых требованиях CA/B Forum
Заключительные мысли
Центрам сертификации еще предстоит уладить все детали по выдаче сертификатов подписи кода после ноябрьского развертывания. Мы ожидаем, что процесс покупки будет упрощенным, подобно тому, как получают сертификаты подписи кода EV. УЦ также предоставят токены безопасности для Вашего закрытого ключа, но у Вас также будет возможность использовать свой собственный, если он отвечает всем требованиям соответствия.
Вектор системного администратора создан macrovector – www.freepik.com
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10