Изменились правила выпуска публичных OV Code Signing сертификатов

Согласно CA/B Forum, регулятору SSL-индустрии, с 15 ноября 2022 года приватные ключи для OV Code Signing сертификатов должны храниться на устройствах, отвечающих стандартам безопасности FIPS 140 Level 2, Common Criteria EAL 4+ или аналогичным. В итоге защита приватного ключа будет усилена и доведена до уровня EV (Extended Validation).

Изменения выпуска OV Code Signing затронут все сертификаты, выпущенные, перевыпущенные или продленные с 15 ноября 2022 года.

Пользователям больше не придется самостоятельно совершать CSR-запросы, поскольку теперь вся техническая часть по выпуску Code Signing сертификата будет осуществляться на стороне удостоверяющего центра.

Приватные ключи и сертификаты должны по новым правилам храниться на токенах или на HSM-модулях (аппаратные модули безопасности), которые имеют сертификацию по стандартам не ниже FIPS 140-2 Level 2 или Common Criteria EAL 4+.

Как будет проходить процесс подписи кода с 15 ноября 2022 года
Чтобы использовать Code Signing сертификат, хранящийся на токене/HSM, пользователю потребуется физический доступ к этому устройству, а также учетные данные для использования сертификата.

Чтобы подписать свой код, пользователю нужно будет подключить токен/HSM с сертификатом к компьютеру, после чего использовать уникальный пароль для дополнительной защиты.

Как будет проходить заказ и продление Code Signing сертификатов с 15 ноября 2022 года
В случае с заказом или продлением Code Signing-сертификата пользователю нужно будет выбрать подходящий метод доставки. Иными словами, нужно будет выбрать вид устройства, на котором придет приватный ключ. Удостоверяющие центры предлагают три варианта доставки:

• На физическом токене (предустановленный сертификат).
• На HSM-модуле.
• С использованием вашего собственного поддерживаемого токена.

Как мы отмечали выше, токены и HSM-модули должны отвечать стандартам безопасности FIPS 140 Level 2, Common Criteria EAL 4+ или аналогичным. Для использования HSM-модуля потребуется направить удостоверяющему центру аттестационное письмо с информацией о пройденном аудите.

Как будет проходить перевыпуск Code Signing сертификатов с 15 ноября 2022 года
В случае с перевыпуском Code Signing сертификата пользователям нужно будет установить сертификат на поддерживаемый токен/HSM. Если токена нет, то в таком случае его нужно будет дополнительно заказать.

В данный момент удостоверяющие центры налаживают процедуру покупки токенов при перевыпуске Code Signing-сертификатов. Как только цены и условия приобретения будут известны, мы добавим соответствующую информацию на сайт.

Ознакомиться с полными правилами выпуска OV Code Signing-сертификатов можно в документе «Baseline Requirements (BR) for the Issuance and Management of Code Signing (v. 2.8)», который доступен на сайте CA/B Forum.

Подписывайтесь на нашу рассылку, чтобы быть в курсе свежих событий из мира SSL!