软件开发者请注意(2022年11月15日起,代码签名证书私钥要求将变更)

【软件开发者请注意(2022年11月15日起,代码签名证书私钥要求将变更)】近日,CA/B论坛对代码签名证书私钥做出了变更要求:证书密钥对必须在达到FIPS 140-2 Level 2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。此次变更旨在增强保护代码签名证书私钥。
软件开发者请注意(2022年11月15日起,代码签名证书私钥要求将变更)
文章图片

本次代码签名基线要求(CSBR)解决了EV代码签名和OV代码签名证书的颁发问题。在此之前,CA/B论坛对EV代码签名和OV代码签名证书有不同的私钥保护要求。例如,EV代码签名证书是存储在Ukey中寄送到用户手中,而非EV代码签名(即OV代码签名)的密钥对可以在软件中生成,这就很容易导致私钥被分发,从而增加了私钥泄露的潜在风险。
代码签名证书私钥变更要求
从 2022 年 11 月 15 日起,代码签名证书密钥对必须在达到FIPS 140-2 Level 2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。这就意味着不论OV代码签名还是EV代码签名证书,他们的密钥对都需在一个硬件设备中生成,且不支持导出私钥。无疑,这将有助于最大限度地降低私钥泄露的可能性。
软件开发者请注意(2022年11月15日起,代码签名证书私钥要求将变更)
文章图片

(CAB论坛 Ballot CSC-13截图)
因为代码签名证书跟软件开发者关系较大,所以软件开发商、分发商等相关人士可以提前了解这个资讯。

    推荐阅读