OV 代码签名证书对于软件开发人员来说,就像 SSL 证书对于网站一样。 如果没有它们,发布者就不为人所知,而代码也极易受到网络攻击。 与任何 PKI 产品一样,保护代码签名密钥至关重要。 但就像普通的 SSL 证书一样,有时密钥会落入坏人手中,带来各种麻烦。
著名的技术公司 Nvidia 最近被盗的 OV 代码签名证书不是一个,而是两个。 的代码签名证书被盗。. 来自臭名昭著的 Lapsus$ 组织的黑客使用被破解的证书来签署他们的恶意软件,并使其看起来像是来自 Nvidia 本身。
虽然如此大规模的攻击并不常见,但其对安全和声誉造成的损害可能是巨大的。 从这一最新漏洞中吸取的教训很简单:不要在服务器上存储代码签名证书和密钥!
CA/Browser 论坛迅速做出反应,修订了代码签名证书的签发和安装,投票决定从 11 月 15 日起在特殊的物理安全硬件设备上签发代码签名证书。
代码签署变更 – 概述
这一变化本身并不具有突破性,因为 CA 已经通过 USB 设备或硬件安全模块(HSM)向客户提供了扩展验证代码签名证书。 很快,同样的程序将适用于组织验证和个人验证代码签名证书。
从技术上讲,安全硬件将包括符合 FIPS(联邦信息处理标准)的设备,如 FIPS 140-2 Level 2、Common Criteria EAL 4+ 或签名解决方案(至少):
- 硬件安全模块(HSM)(云或物理设备)
- 安全令牌,如物理 USB 硬件工具
- 密钥存储和签名服务
实际上,您无需再生成证书签名请求,因为 CA 将负责所有技术方面的工作。
全面修订代码签名背后的原因
CA/Browser Forum 的大多数变化和改进都是由新出现的安全问题驱动的,这些问题已不容忽视。 这次也不例外。 在经历了几次备受瞩目的失败之后,CA/B 论坛在《CA/B Forum》中概述了代码签名安全标准。 发布和管理代码签名的基准要求(BR)(版本 2.8),通过 CSC-13 投票 – 更新用户密钥保护要求.
因此,所有代码签名证书,无论采用哪种验证方法,都将在安全的硬件设备上装运。 而且,由于 CA 已经使用物理设备来提供 EV 代码签名证书,因此更改应该是顺利和直接的。
代码签名证书 BR(2.8 版)第 16.3.1 节 “用户私钥保护 “确认了即将进行的更改。 内容如下
“CA必须从签约用户处获得签约声明,签约用户将使用以下选项之一在硬件加密模块中生成和保护其代码签名证书私钥,硬件加密模块的单元设计外形尺寸经认证至少符合FIPS 140-2 Level 2或Common Criteria EAL 4+标准”。
我该如何准备?
正式调整将于 2022 年 11 月 15 日星期二 12 时进行。 协调世界时(UTC)。 您可以使用 时区转换器 来确定您的当地时间。 不过,通常情况下,一些 CA(如Sectigo和 Digicert)可能会提前开始推出变更,以便在正式截止日期前解决任何潜在问题。 到目前为止,我们还没有从 CA 收到任何有关此事的最新消息,因此我们会随时更新。
新要求将影响在 11 月目标日期之后购买 OV 或 IV 代码签名证书的任何人。 如果您的证书在截止日期后过期,您必须按照新规定重新颁发证书。
11 月 15 日之前签发的现有代码签名证书将按原计划运行。 您可以一如既往地签署您的软件。 更改后,代码签名申请人必须确认他们将在以下选项之一中存储密钥:
- HSM 或 USB 安全令牌
- 基于云的密钥生成和保护解决方案
- 符合 CA/B 论坛基线要求的签名服务
最终想法
在 11 月推出代码签名证书后,CA 还没有确定签发代码签名证书的所有细节。 我们希望购买流程简化,类似于获取 EV 代码签名证书的方式。 CA 还将为你的私钥提供安全令牌,但如果你自己的私钥符合所有合规要求,你也可以选择使用自己的私钥。
由 macrovector 创建的系统管理员矢量 –www.freepik.com
