Подписание кодов Новые отраслевые стандарты 2023

Начиная с 1 июня 2023 года в 00:00 UTC отраслевые стандарты будут требовать, чтобы закрытые ключи для сертификатов подписи кода OV хранились на оборудовании, сертифицированном по стандартам FIPS 140 Level 2, Common Criteria EAL 4+ или эквивалентным. Это изменение усиливает защиту закрытых ключей сертификатов подписания кода и приводит ее в соответствие с защитой закрытых ключей сертификатов подписания кода EV (Extended Validation).

• 1

  Генерация продуктов Sectigo OV и EV Code Signing

  Есть два варианта:

  1. Заявитель сертификата выбирает, чтобы компания Sectigo установила сертификат на подходящее оборудование (например, токен) и отправила его ему.

  2. Заявитель сертификата имеет подходящее оборудование, генерирует на нем ключи в неэкспортируемой форме, запрос на подписание сертификата (CSR) и заверение ключа, а также включает CSR и заверение ключа в запрос на сертификат. Аттестация ключа, представляющая собой файл, генерируемый HSM, содержит необходимое доказательство того, что закрытый ключ был сгенерирован на подходящем оборудовании.

  В настоящее время следующие аппаратные модули поддерживаются сервисом Sectigo Key-Attestation Service для проверки производимых ими криптографических данных:

  Luna Network Attached HSM, версия 7.x

  Серия YubiKey 5 FIPS

  Если HSM предоставляется компанией Sectigo CA, то токен + стоимость доставки оплачиваются дополнительно.

• 2

  Генерация продуктов DigiCert и GoGetSSL OV и EV Code Signing

  Как и в случае с EV-подписанием кода, сертификаты OV-подписания кода имеют три варианта обеспечения для токенов и HSM:

  Используйте предварительно сконфигурированный аппаратный токен, предоставленный DigiCert

  Используйте свой собственный поддерживаемый аппаратный токен.
  У вас должен быть один из одобренных аппаратных токенов, перечисленных в поле выше:
  SafeNet eToken 5110 FIPS (только ECC)
  SafeNet eToken 5110 CC (RSA 4096 и ECC)
  SafeNet eToken 5110+ FIPS

  Аппаратные токены и устройства HSM должны соответствовать стандартам FIPS 140 Level 2, Common Criteria EAL 4+ или эквивалентным.

  Если аппаратный токен предоставляется DigiCert CA, то токен + стоимость доставки оплачиваются дополнительно.

• 3

  Подписание кода с помощью аппаратного токена или HSM

  Чтобы использовать сертификат подписания кода на основе токена, вам нужен доступ к аппаратному токену или HSM и учетные данные для использования хранящегося на нем сертификата. Для подписи кода на основе токена вам нужно подключить аппаратный токен к компьютеру и ввести пароль, чтобы подписать код с помощью сертификата подписи кода на токене.

• 4

  Перевыпуск сертификатов

  Если вам нужно перевыпустить сертификат подписи кода после 1 июня 2023 года, вы должны установить перевыпущенный сертификат на поддерживаемый аппаратный токен или HSM. Если у вас нет токена, вы можете приобрести его у CA в это время.

  Примечание: Чтобы оставаться в соответствии с требованиями, вам не нужно перевыпускать сертификаты подписи кода, выпущенные до 1 июня 2023 года. На эти сертификаты новые требования не распространяются, если вы их не перевыпускаете.