OV Kod İmzalama sertifikaları, yazılım geliştiriciler için SSL sertifikalarının bir web sitesi için olduğu gibidir. Bunlar olmadan yayıncı bilinmezliğini korurken, kod siber saldırılara karşı oldukça hassastır. Tüm PKI ürünlerinde olduğu gibi, Kod imzalama anahtarlarının korunması çok önemlidir. Ancak tıpkı normal SSL sertifikalarında olduğu gibi, bazen anahtarlar yanlış ellere geçebilir ve her türlü sorunu beraberinde getirebilir.
Kısa bir süre önce bir değil, iki kez aynı şeyi gören ünlü teknoloji şirketi Nvidia’ya sorun. OV kod imzalama sertifikalarından ikisi çalındı. Kötü şöhretli Lapsus$ grubundan bilgisayar korsanları, ele geçirilen sertifikaları kötü amaçlı yazılımlarını imzalamak ve Nvidia’nın kendisinden gelmiş gibi göstermek için kullandılar.

Bu büyüklükteki saldırılar nadiren görülse de, güvenlik ve itibar zararları önemli olabilir. Bu son ihlalden çıkarılacak ders basittir: kod imzalama sertifikalarını ve anahtarlarını sunucunuzda saklamayın!
CA/Browser forumu hızlı bir tepki vererek kod imzalama sertifikalarının 15 Kasım’dan itibaren özel fiziksel güvenlik donanım cihazlarında verilmesini oylayarak bu sertifikaların verilmesini ve kurulumunu değiştirdi.
Kod imzalama değişiklikleri – genel bakış
CA’lar Genişletilmiş Doğrulama kod imzalama sertifikalarını müşterilere USB aygıtları veya donanım güvenlik modülleri (HSM) ile zaten sunduğundan bu değişiklik çığır açıcı değildir. Yakında, aynı prosedür Organizasyon Doğrulama ve Bireysel Doğrulama kod imzalama sertifikaları için de geçerli olacaktır.
Teknik olarak konuşmak gerekirse, güvenli donanım FIPS 140-2 Seviye 2, Ortak Kriterler EAL 4+ gibi FIPS (Federal Bilgi İşleme Standartları) uyumlu cihazları veya (asgari olarak) aşağıdaki gibi imzalama çözümlerini içerecektir:
- Donanım güvenlik modülleri (HSM’ler), (bulut veya fiziksel cihazlar)
- Fiziksel USB donanım araçları gibi güvenlik belirteçleri
- Anahtar depolama ve imzalama hizmetleri
Uygulamada, CA tüm teknik tarafla ilgileneceği için artık Sertifika İmzalama İsteği oluşturmanız gerekmeyecektir.
Kod imzalama revizyonunun arkasındaki neden
CA/Browser Forum değişikliklerinin ve iyileştirmelerinin çoğu, artık ihmal edilemeyecek yeni güvenlik sorunlarından kaynaklanmaktadır. Bu özel durum bir istisna değildir. Yüksek profilli birkaç fiyaskodan sonra CA/B Forumu, kod imzalama güvenlik standartlarının ana hatlarını Kod İmzalamanın Verilmesi ve Yönetimi için Temel Gereksinimler (BR) (sürüm 2.8), aracılığıyla güncellendi Oy Pusulası CSC-13 – Abone Anahtar Koruma Gerekliliklerinde Güncelleme.
Sonuç olarak, doğrulama yöntemi ne olursa olsun tüm kod imzalama sertifikaları güvenli donanım cihazlarında gönderilecektir. CA’lar EV kod imzalama sertifikaları sunmak için zaten fiziksel cihazlar kullandığından, değişiklikler sorunsuz ve basit olmalıdır.
Yaklaşan değişiklikler BR kod imzalama sertifikalarının (sürüm 2.8) 16.3.1 Abone Özel Anahtar Koruması bölümünde onaylanmıştır. İşte burada belirtiliyor:
“CA, Aboneden, Kod İmzalama Sertifikası Özel Anahtarlarını en az FIPS 140-2 Seviye 2 veya Ortak Kriterler EAL 4+ ile uyumlu olduğu onaylanmış bir birim tasarım form faktörüne sahip bir Donanım Kripto Modülünde oluşturmak ve korumak için aşağıdaki seçeneklerden birini kullanacağına dair sözleşmeye dayalı bir beyan almalıdır.”

Nasıl hazırlanmalıyım?
Resmi olarak, ayarlama 15 Kasım 2022 Salı günü Koordineli Evrensel saatle (UTC) 12.00’de gerçekleşecektir. Kullanabileceğiniz bir saat dilimi dönüştürücü yerel saatinizi belirlemek için. Ancak, çoğu zaman olduğu gibi, Sectigo ve Digicert gibi bazı CA’lar, resmi son tarihten önce olası sorunları çözmek için değişiklikleri planlanandan önce yayınlamaya başlayabilir. Şimdiye kadar CA’lardan bu konuda herhangi bir güncelleme almadık, bu nedenle sizi bilgilendirmeye devam edeceğiz.
Yeni gereklilikler, Kasım hedef tarihinden sonra OV veya IV kod imzalama sertifikası satın alan herkesi etkileyecektir. Sertifikanızın süresi son tarihten sonra dolarsa, yeni kurallara uygun olarak yeniden düzenlemeniz gerekecektir.
Kasım 15’ten önce verilen mevcut kod imzalama sertifikaları amaçlandığı gibi çalışacaktır. Yazılımlarınızı her zaman olduğu gibi imzalamaya devam edebilirsiniz. Değişiklikler gerçekleştikten sonra, kod imzalama başvurusunda bulunanların anahtarlarını aşağıdaki seçeneklerden birinde saklayacaklarını teyit etmeleri gerekecektir:
- Bir HSM veya USB güvenlik belirteci
- Bulut tabanlı bir anahtar oluşturma ve koruma çözümü
- CA/B Forum Temel Gereksinimlerinde belirtilen gereksinimleri karşılayan bir imzalama hizmeti
Ürün Değerlendirmeleri
Kod imzalama sertifikaları, özellikle ne kadar süre geçerli kaldıkları ve imzalama anahtarının nerede saklandığı konusunda sağlayıcıya bağlı olarak değişir.
DigiCert ve GoGetSSL sabit bir model izler. Sertifikaları, anahtarı CA tarafından sağlanan bir belirteçte mi yoksa kendi HSM’nizde mi sakladığınıza bakılmaksızın bir yıl süreyle verilir.
Sectigo (Comodo) daha esnek bir yol izler. Sertifikaların üç yıla kadar çalışmasına izin verir, ancak yalnızca özel anahtar kendi HSM’nizde tutulursa. Bunun yerine CA tarafından verilen bir belirteci tercih ederseniz, sertifika bir yıllık süreyle sınırlıdır.
Bu farklılıklar, anahtarlarınızı nasıl yöneteceğinizi ve sertifikanızı ne sıklıkla yenilemeniz gerektiğini doğrudan etkiler.
Son Düşünceler
CA’lar, Kasım ayındaki dağıtımdan sonra kod imzalama sertifikalarının verilmesine ilişkin tüm ayrıntıları henüz belirlemedi. EV kod imzalama sertifikalarının elde edilme şekline benzer şekilde kolaylaştırılmış bir satın alma süreci bekliyoruz. CA’lar ayrıca özel anahtarınız için güvenlik belirteçleri de sağlayacaktır, ancak tüm uyumluluk gereksinimlerini karşılıyorsa kendi anahtarınızı kullanma seçeneğiniz de olacaktır.
macrovector tarafından oluşturulan sistem yöneticisi vektörü – www.freepik.com
Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!
Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10






