Certifikáty pro podepisování kódu budou od 1. června 2023 (ZMĚNA! původně listopad 2022) vydávány pouze na bezpečném hardwarovém tokenu nebo do bezpečné cloudové služby. Všechny CODE certifikáty se budou nově vydávat tak, jak byly doposud vystavovány nejdůvěryhodnější EV CODE certifikáty.
Změny a úpravy pro CODE certifikáty byly odhlasovány CA/B fórem v květnu 2022 s cílem ještě více zabezpečit CODE certifikáty před zneužitím jako se to stalo například NVIDII, kdy byl podepsán škodlivý software ukradenými certifikáty.
- Ballot CSC-13 – Update to Subscriber Key Protection Requirements
- NVIDIA’s Stolen Code-Signing Certs Used to Sign Malware
Přehled změn pro CODE signing certifikáty
Od 1. června 2023 budou muset certifikační autority vydávat nebo ukládat nové a obnovované CODE certifikáty na zařízení splňující FIPS 140-2 Level 2, Common Criteria EAL 4+ (nebo ekvivalentní). Změna se týká všech CODE signing certifikátů, tedy firemních, individuálních i open source.
Přesné informace a požadavky na CODE certifikáty jsou publikovány na stránkách CA/B fóra – Baseline Requirements (Code Signing) v aktuální verzi Baseline Requirements for the Issuance and Management of Publicly‐Trusted Code Signing Certificates.
Nové CODE certifikáty bude možné získat na:
- Hardwarové bezpečnostní moduly (HSM) – cloudové nebo fyzické zařízení
- Tokeny fyzického zabezpečení, jako jsou hardwarová USB zařízení
- Služby úložiště klíčů a podepisování
Prakticky to bude znamenat, že všechny certifikáty pro podepisování kódu budou doručovány podobným způsobem, jakým jsou dnes řešeny EV CODE certifikáty. Ty jsou odesílány zákazníkovi na USB tokenu či generovány do zákaznického hardwarového bezpečnostního modulu (HSM) atd. Již tedy nebude docházet ke generování klíčů u zákazníka nebo ve starém Internet Exploreru, jak to bylo doposud. Vše bude řešeno na straně certifikační autority.
Zde je důležité připomenout, že certifikát nebude možné z tokenu vyexportovat a tedy přenášet na jiné počítače či zařízení!
Kdy dojde k oficiální změně
Podle odhlasovaného dokumentu dojde ke změně od úterý 15. listopadu 2022 v 0:00 UTC. Certifikační autority však plánují zahájit vydávání CODE certifikátů podle nových pravidel již během měsíce října. To proto, aby nedocházelo k překryvu a nutnému rušení původních objednávek.
Může ještě nastat změna?
(Aktualizováno 28/09/2022) Dle posledních diskuzí v Code Signing Certificate Working Group se nyní řeší, že certifikační autority nejsou připraveny na změnu a že nastavené půlroční období bylo velice krátké. Je možné, že v některém říjnovém hlasování dojde k posunutí termínu. Sledovat situaci můžete na Code Signing Certificate Working Group.
Změna byla potvrzena a finální datum bylo stanoveno na 1. června 2023.
Prodlužte si CODE certifikát ještě před změnou
Pokud vám brzy expiruje váš CODE certifikát, můžete si jej ještě nyní na stránkách SSLmentor prodloužit za stávajících podmínek až na 3 roky a pracovat s ním tak, jak jste doposud zvyklí. Tedy pravděpodobně máte CODE certifikát vyexportovaný v PFX souboru a případně distribuovaný v týmu nebo někde uložený na centrálním bezpečném místě.
Výhodou obnovení CODE certifikátu na 3 roky je také lepší poměrná cena na rok, a můžete tak výrazně ušetřit.