Od června 2021 lze vystavovat Code Signing certifikáty pouze s minimální velikostí klíčů 3072-bitů pro generování pomocí algoritmu RSA (RSA-3072). Původně měla minimální velikosti začít platit od začátku roku, ale termín byl v hlasování CAB fóra posunut na 1. června. Současně byl posunut termín pro přechod časových razítek z SHA-1 na SHA-2 na 30. dubna. Klíčů generovaných pomocí ECC se změny netýkají.
Změny se týkají samozřejmě také EV CODE certifikátů, které jsou generovány pouze na hardwarových tokenech. Ty musí podporovat minimální velikost klíčů 3072 bitů.
Jak certifikační autorita DigiCert, tak CA Sectigo nové CODE certifikáty od června podepisují novými intermediate a root certifikáty.
Zajímavostí je, že americká společnost GoDaddy, na základě změn oznámila, že již nebude dále zajišťovat CODE signing certifikáty – „Code Signing and Driver Signing Certificates no longer issued or renewed after June 1, 2021“
CAB fórum [link]
Ballot CSC-4 v1: Move deadline for transition to RSA-3072 and SHA-2 timestamp tokens