最新的 CA/Browser Forum 法规变更要求用户在硬件安全模块(物理硬件令牌)上安装代码签名证书。 需要组织验证(OV)或个人验证(IV)代码签名证书的组织和个人可以购买预配置的证书令牌,或在现有硬件设备上订购证书。
在购买代码签名证书时,必须在购买时选择合适的交付方式,因为事后无法更改这一选择。
什么是电子令牌?
电子令牌(e-token)是一种用于安全认证和数据加密的小型硬件设备。 它通常用于信息技术和网络安全领域,以提供额外的安全保护。 该设备可生成一次性密码 (OTP) 或加密密钥,用于访问受保护的系统、网络或应用程序。 个人和组织通常使用电子令牌来保护敏感数据,防止未经授权的访问。
什么是硬件安全模块(HSM)?
硬件安全模块(HSM)是一种防篡改硬件设备,可提供加密服务、密钥管理和敏感数据(如加密密钥、证书和数字签名)的安全存储。 它能保护重要的数字资产,防止未经授权的访问。
HSM 是隔离的独立设备,这意味着它们与主机系统分离,不易受到基于软件的操作系统攻击。 各行各业都在使用 HSM,包括金融、政府、医疗保健和技术行业,这些行业对安全的要求非常严格。
HSM 如何提高代码签名的安全性?
硬件安全模块通过以下方式增强代码签名证书的安全性:
- 密钥保护:HSM 将私人密钥存储在安全的硬件环境中,攻击者很难访问或窃取这些密钥。 私钥永远不会离开 HSM,从而降低了暴露风险。
- 安全签名:签名过程在 HSM 内部进行,保护代码签名过程不受外部威胁。
- 防篡改:HSM 具有防篡改功能,任何访问或操纵设备的物理尝试通常都会破坏存储的密钥,使其对攻击者毫无用处。
- 多因素身份验证:许多 HSM 都支持管理员多因素身份验证,在访问加密操作时增加了一层额外的安全性。
代码签名证书交付方法
1.代币 + 运费
建议大多数用户使用
令牌 + 运输方法允许您直接从证书颁发机构订购预先配置的令牌。 购买价格包括硬件令牌和运费。 这种方案是大多数用户的理想选择,因为它可以简单方便地获取和实施证书。 以下是象征性运费:
Sectigo/Comodo
- 代币 + 加急送货(美国) 147.00 美元
- 代币 + 国际运费 137.00 美元
- 代币 + 标准运费(美国) 95.00 美元
Digicert 和 GoGetSSL
- 代币 + 运费(美国和国际) 126 美元
2.安装在现有 HSM 或令牌上
高级用户
对于已经拥有兼容硬件安全模块的用户,可以使用 “在现有 HSM 或令牌上安装 “的方法。 如果您熟悉相关软件,可以在硬件设备上安装代码签名证书。 在订购Sectigo/Comodo证书时,您必须提供 HSM 的认证捆绑包。
由于 SSL Dragon 和证书颁发机构无法为外部 HSM 设备提供支持,因此特别建议具备管理第三方硬件专业知识的高级用户使用此方法。 此方法支持的 HSM 品牌必须通过FIPS 140 2 级、通用标准 EAL 4+ 或同等认证。 支持以下 HSM 品牌和令牌:
Sectigo/Comodo
DigiCert 和 GoGetSSL
您可以使用自己支持的令牌或在现有 HSM 上安装证书:
支持的令牌:
- SafeNet eToken 5110 CC 用于 RSA 4096 位和 ECC P-256 位或更高密钥证书。
- SafeNet eToken 5110 FIPS 适用于 ECC P-256 和 P-384 位密钥证书。
- SafeNet eToken 5110+ FIPS 适用于 RSA 4096 位和 ECC P-256 位或更高密钥证书。
你自己的 HSM:
- 您必须拥有通用标准 EAL4+ 或 FIPS 140-2 2 级 HSM。
- 获得 HSM 后,连同证书申请一起提交证书签名请求(CSR)。
- 完成课程后,您将通过电子邮件收到证书副本。
坚持你的决定
一旦完成购买,您就不能更改所选的配送方式。 因此,请仔细考虑您的要求,并事先选择最合适的方案。 如果您需要不同的交付方式,可以通过您的账户仪表板取消订单,然后再购买一份您喜欢的证书。
底线
随着网络威胁的不断发展,传统的基于软件的加密解决方案越来越脆弱。 HSM 可有效抵御复杂的攻击。 通过了解可用选项并选择适当的证书交付方式,您可以确保顺利、高效地获取代码签名证书,并通过增强的安全措施保护您的软件和数字资产。