A partire dal 1 Giugno 2023, le private key per i certificati Code Signing Standard dovranno essere archiviate su un dispositivo hardware certificato come FIPS 140 livello 2, Common Criteria EAL 4+ o equivalente. Questa modifica rafforza la protezione della private key per i certificati Code Signing e la allinea alla protezione della private key dei certificati Code Signing EV (Extended Validation).
In che modo influisce questo nuovo requisito?
La novità riguarda i certificati Code Signing emessi dal 1 Giugno 2023 e in particolar modo per la parte relativa a:
- Archiviazione della private key e l’installazione di certificati
- Codice di firma
- Ordine ed rinnovo dei certificati
- Riemissione dei certificati
Archiviazione private key ed installazione di certificati
Le Certificate Authorities (CA) non possono più supportare la generazione di chiavi basata su browser e l'installazione di certificati o qualsiasi altro processo che includa la creazione di un CSR e l'installazione del certificato su un laptop o server. Le private key e i certificati dovranno essere archiviati e installati su token o HSM (moduli di sicurezza hardware) certificati almeno come FIPS 140-2 Livello 2 o Common Criteria EAL 4+.
Code Signing
Per utilizzare un certificato Code Signing è necessario accedere al token o all'HSM e alle credenziali per utilizzare il certificato in esso archiviato.
Ordine e rinnovo dei certificati Code Signing dopo il 1 Giugno 2023
Quando si ordina e si rinnova un certificato Code Signing standard, è necessario selezionare un metodo di provisioning. In altre parole, è necessario scegliere l'hardware su cui archiviare la private key. Come per il Code Signing EV ci sono tre opzioni di provisioning:
- Utilizzare un token hardware preconfigurato fornito da DigiCert
- Utilizzare il proprio token hardware supportato
- Installare il certificato su un dispositivo HSM
I token e i dispositivi HSM devono essere certificati come FIPS 140 Livello 2, Common Criteria EAL 4+ o equivalente. Per utilizzare un HSM, è necessario inviare una lettera di attestazione che includa una lettera di audit.
Riemissione certificati dopo il 1 Giugno 2023
Quando si riemettono certificati Code Signing, è necessario installare il certificato su un token o su un dispositivo HSM. Se non si è in possesso di un token, è possibile acquistarlo da DigiCert.