CODE certifikáty – upřesnění změn 2023

autor:

CODE certifikáty budou podle nových pravidel vydávány pouze na bezpečném hardwarovém tokenu nebo do bezpečné cloudové služby. Všechny CODE certifikáty se budou nově vydávat tak, jak byly doposud vystavovány nejdůvěryhodnější EV CODE certifikáty.

Změny a úpravy pro CODE certifikáty byly odhlasovány CA/B fórem a jsou k dispozici jako „Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates“. K dispozici samozřejmě na stránkách CAB fóra na adrese cabforum.org/baseline-requirements-code-signing/.

Jak jsme již psali, od 1. června 2023 budou muset certifikační autority vydávat nebo ukládat nové a obnovované CODE certifikáty na zařízení splňující FIPS 140-2 Level 2, Common Criteria EAL 4+ (nebo ekvivalentní). Změna se týká všech CODE signing certifikátů, tedy firemních, individuálních i open source.

Nové CODE certifikáty bude možné získat na:

  • Hardwarové bezpečnostní moduly (HSM) – cloudové nebo fyzické zařízení
  • Tokeny fyzického zabezpečení, jako jsou hardwarová USB zařízení
    • CA Sectigo nyní podporuje Thales/Safenet Luna and netHSM devices nebo Yubico FIPS Yubikeys (for ECC keys only)
  • Služby úložiště klíčů a podepisování

Certifikační autority

CA Sectigo

  • do 14. dubna bude možné objednat Standard CODE bez tokenu – prodlouženo do 15. května
  • původní objednávky standardních CODE certifikátů musí být vystaveny do 24. dubna, jinak budou zrušeny
  • od dubna by mělo být možné objednávat Sectigo CODE Signing certifikát na tokenu
  • od 8. května již bude CA Sectigo vydávat CODE certifikáty pouze podle nových pravidel
  • CA plánuje výrazně zvýšit cenu CODE certifikátů

CA Certum

  • podpora objednání původních CODE certifikátů bude ukončena cca 24. května

CA DigiCert

  • od 24. května bude možné objednat nové CODE certifikáty již pouze podle nových podmínek
  • ceny certifikátů by se neměly měnit, bude účtován poplatek za HW ve výši cca 120 USD

Datumy mohou být samozřejmě ze stran CA upravovány.

Prodlužte si CODE certifikát ještě před změnou

Pokud vám brzy expiruje váš CODE certifikát, můžete si jej ještě nyní na stránkách SSLmentor prodloužit za stávajících podmínek až na 3 roky a pracovat s ním tak, jak jste doposud zvyklí. Tedy pravděpodobně máte CODE certifikát vyexportovaný v PFX souboru a případně distribuovaný v týmu nebo někde uložený na centrálním bezpečném místě.
Výhodou obnovení  CODE certifikátu na 3 roky je také lepší poměrná cena na rok, a můžete tak výrazně ušetřit.