通知:11月15日开始 OV代码签名证书需要在安全令牌上签发
为了增强代码签名证书私钥的安全性,CA/B论坛今年初通过召开会议并讨论,最终决定对代码签名证书的私钥存储方式做出更改:包含公钥和私钥的密钥对必须在达到FIPS 140-2 Level 2或EAL4+通用标准以及更高标准的安全令牌中生成并存储。
按照以往的流程,申请OV代码签名证书需要在IE浏览器填写申请信息,浏览器会自动生成并存储证书请求文件CSR和私钥KEY。证书颁发商通过浏览器获取用户的CSR和KEY,对用户的CSR进行数字签名后生成证书。用户将通过邮件的方式收到证书颁发商签发的代码签名证书,证书无需存储在安全令牌中。
从2022年11月15日开始,购买新OV企业代码签名证书和IV个人代码签名证书的用户获取证书的方式,和EV代码签名证书一样,由证书颁发机构签发并存储在预配置的安全令牌上,证书颁发机构会通过邮寄的方式将安全令牌寄送给用户。此次规则更新影响重新签发或续费的代码签名证书,但不影响在11月15日前签发的代码签名证书。需要注意的是,部分证书颁发商可能会提前实施更改,以确保在CA/B论坛规定的截至日前执行新标准。
新的标准执行后,用户必须选择使用以下方法之一来存储证书和私钥:
一是USB安全令牌:DigiCert要求使用特定的安全令牌来存储代码签名证书和私钥,即支持密钥长度为4096位RSA和256位ECC的安全令牌SafeNet eToken 5110 CC。
二是硬件安全模块HSM:用户可以使用自有的硬件安全模块来存储证书和私钥,但需要向证书颁发机构证明使用的设备符合要求,必须达到FIPS 140-2 Level 2或EAL4+通用标准以及更高标准,且支持密钥长度达到或超过3072位的RSA或256位的ECC加密算法。
三是代码签名服务和应用程序:用户不需要任何物理设备或硬件令牌,只需要将证书和私钥存储在安全应用程序上,例如DigiCert的安全软件管理器SSM。