Последние изменения в правилах CA/Browser Forum обязывают пользователей устанавливать сертификаты подписи кода на аппаратные модули безопасности (физические аппаратные токены). Организации и частные лица, которым нужны сертификаты подписи кода Organization Validation (OV) или Individual Validation (IV), могут приобрести предварительно сконфигурированные токены сертификатов или заказать сертификат на имеющиеся у них аппаратные устройства.
При приобретении сертификата подписи кода выбор подходящего способа доставки во время покупки крайне важен, поскольку Вы не сможете изменить этот выбор позже.
Что такое электронный токен?
Электронный токен (e-token) – это небольшое аппаратное устройство для безопасной аутентификации и шифрования данных. Его часто используют в информационных технологиях и кибербезопасности для обеспечения дополнительного уровня защиты. Это устройство генерирует одноразовые пароли (OTP) или криптографические ключи для доступа к защищенным системам, сетям или приложениям. Частные лица и организации обычно используют электронные токены для защиты конфиденциальных данных и предотвращения несанкционированного доступа.
Что такое аппаратный модуль безопасности (HSM)?
Аппаратный модуль безопасности (HSM) – это устойчивое к взлому аппаратное устройство, которое предоставляет криптографические услуги, управление ключами и безопасное хранение конфиденциальных данных, таких как криптографические ключи, сертификаты и цифровые подписи. Он обеспечивает безопасность критически важных цифровых активов, защищая их от несанкционированного доступа.
HSM – это изолированные, автономные устройства, то есть они отделены от хост-системы и менее восприимчивы к программным атакам на операционную систему. HSM используются в различных отраслях промышленности, включая финансы, государственное управление, здравоохранение и технологии, где необходимы строгие требования к безопасности.
Как HSM повышают безопасность подписания кода?
Модули аппаратной безопасности повышают безопасность сертификатов Code Signing следующими способами:
- Защита ключей: HSM хранят закрытые ключи в защищенной аппаратной среде, поэтому злоумышленникам крайне сложно получить к ним доступ или украсть их. Закрытые ключи никогда не покидают HSM, что снижает риск их раскрытия.
- Безопасное подписание: Процесс подписания происходит внутри HSM, защищая процесс подписания кода от внешних угроз.
- Устойчивость к взлому: HSM устойчивы к взлому, и любая физическая попытка получить доступ к устройству или манипулировать им, как правило, уничтожает хранящиеся ключи, делая их бесполезными для злоумышленников.
- Многофакторная аутентификация: Многие HSM поддерживают многофакторную аутентификацию для администраторов, добавляя дополнительный уровень безопасности при доступе к криптографическим операциям.
Методы доставки сертификатов подписи кода
1. Жетон + доставка
Рекомендуется для большинства пользователей
Метод “Токен + доставка” позволяет Вам заказать предварительно сконфигурированный токен непосредственно в Центре сертификации. В стоимость покупки входит как аппаратный токен, так и стоимость доставки. Этот вариант идеально подходит для большинства пользователей, предлагая простоту и удобство в приобретении и использовании сертификата. Ниже перечислены символические сборы за доставку:
Сектиго/Комодо
- Жетон + ускоренная доставка (США) $147.00 USD
- Жетон + международная доставка $137.00 USD
- Жетон + стандартная доставка (США) $95.00 USD
Digicert и GoGetSSL
- Жетон + доставка (США и международная) $126 USD
2. Установка на существующий HSM или токен
Для опытных пользователей
Для тех, у кого уже есть совместимый аппаратный модуль безопасности, доступен метод “Установить на существующий HSM или токен”. Вы можете установить сертификат подписи кода на свое аппаратное устройство, если Вы знакомы с соответствующим программным обеспечением. При заказе сертификатов Sectigo/Comodo Вы должны в обязательном порядке предоставить пакет сертификатов Attestation Bundle для Вашего HSM.
Этот метод рекомендуется для опытных пользователей, обладающих опытом управления оборудованием сторонних производителей, поскольку SSL Dragon и Центр сертификации не могут предложить поддержку внешних HSM-устройств. Поддерживаемые марки HSM для этого метода должны быть сертифицированы как FIPS 140 Level 2, Common Criteria EAL 4+ или эквивалентные. Поддерживаются следующие марки и токены HSM:
Сектиго/Комодо
DigiCert и GoGetSSL
Вы можете использовать свой собственный поддерживаемый токен или установить сертификат на существующий HSM:
Поддерживаемые токены:
- SafeNet eToken 5110 CC для сертификатов ключей RSA 4096-бит и ECC P-256-бит или выше.
- SafeNet eToken 5110 FIPS для сертификатов ключей ECC P-256 и P-384 бит.
- SafeNet eToken 5110+ FIPS для сертификатов ключей RSA 4096-бит и ECC P-256-бит или выше.
Ваш собственный HSM:
- У Вас должен быть HSM Common Criteria EAL4+ или FIPS 140-2 уровня 2.
- Как только Вы получите HSM, отправьте запрос на подписание сертификата (CSR) вместе с запросом на сертификат.
- По окончании Вы получите копию своего сертификата по электронной почте.
Придерживаясь Вашего решения
После того, как Вы завершили покупку, Вы не можете изменить выбранный способ доставки. Поэтому внимательно изучите свои требования и заранее выберите наиболее подходящий вариант. Если Вам нужен другой способ доставки, Вы можете отменить заказ через панель управления Вашей учетной записью и приобрести другой сертификат с предпочтительным для Вас вариантом.
Нижняя линия
По мере развития киберугроз традиционные криптографические решения на основе программного обеспечения становятся все более уязвимыми. HSM обеспечивают надежную защиту от сложных атак. Поняв доступные варианты и выбрав подходящий способ доставки сертификата, Вы сможете обеспечить беспроблемное и эффективное получение сертификата подписи кода, защитив свое программное обеспечение и цифровые активы с помощью повышенных мер безопасности.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10