Certifikatmyndigheder som SSL.com har for nylig hævet nøgleopbevaringsstandarderne for kodesigneringscertifikater, og kræver nu opbevaring af certifikatets private nøgle enten på et fysisk USB-token eller på et kompatibelt Hardware Security Module (HSM).
Fra den 1. juni 2023 er alle SSL.com-kodesigneringscertifikater ophørt med at blive udstedt som pfx-filer, der kan downloades. Denne ændring er i overensstemmelse med Certificate Authority/Browser (CA/B) Forum's nye krav til nøgleopbevaring for at øge sikkerheden for kodesigneringsnøgler. Den tidligere regel tillod Organisationsvalidering (OV) og Individual Validation (IV) kodesigneringscertifikater at blive udstedt som downloadbare filer. Da de nye krav kun tillader brug af krypterede USB-tokens eller cloud-baserede FIPS-kompatible hardwareapparater til at gemme certifikatet og den private nøgle, forventes det, at tilfælde af kodesigneringsnøgler, der bliver stjålet og misbrugt af ondsindede aktører, vil blive stærkt reduceret.
Mens brugen af USB-tokens giver udfordringer med at integrere med moderne CI/CD-pipelines, og det kan være besværligt at administrere en fysisk HSM på kontoret, men der findes et effektivt alternativ. Google Cloud tilbyder en praktisk løsning: leje af en enkelt nøgleslot på deres HSM-tjeneste. Denne tilgang er ikke kun omkostningseffektiv, men er også i overensstemmelse med de nyeste FIPS 140-2 niveau 2-overholdelsesstandarder, alt imens den eliminerer behovet for fysisk enhedsadministration. Denne artikel vil guide dig gennem opsætningsprocessen for denne mellemvejsløsning.
SSL.com's EV-kodesigneringscertifikater er betroet over hele verden til digitalt at signere softwarekode med sikre digitale signaturer.
Forståelse af kodesigneringsprocessen med en cloud-baseret HSM
For at forstå essensen af kodesigneringsproceduren ved hjælp af et cloud-baseret Hardware Security Module (HSM), er det nyttigt at undersøge komponenterne:- Code Signing Certificate: Et digitalt certifikat udstedt af en betroet Certificate Authority (CA), som softwareudviklere bruger til digitalt at signere deres software, scripts og eksekverbare filer. Dette certifikat fungerer som en digital signatur, der bekræfter identiteten på udvikleren eller udgiveren og sikrer, at koden ikke er blevet ændret eller kompromitteret, siden den oprindeligt blev underskrevet.
- Google Cloud: Tilbyder tjenester, der understøtter sikker softwareudvikling og -implementering, inklusive infrastruktur til sikker generering og administration af kryptografiske nøgler, der bruges i kodesigneringsprocessen.
- Google Cloud HSM til nøglebeskyttelse: Et robust hardwaresikkerhedsmodul placeret i Google Clouds infrastruktur, dedikeret til at sikre din private nøgle mod uautoriseret adgang.
- Signeringsværktøj: Et softwareprogram eller et hjælpeprogram designet til digitalt at signere softwareprogrammer og applikationer. Denne digitale signatur forsikrer slutbrugeren om, at softwaren ikke er blevet ændret eller kompromitteret, siden den blev underskrevet af udvikleren eller udgiveren.
- Time Stamping Authority (TSA): en betroet tredjepartstjeneste, som typisk administreres af din Certificate Authority (CA), som har til opgave at bevise, at koden blev underskrevet i gyldighedsperioden for det digitale certifikat, der blev brugt til signering, selvom certifikatet senere udløber eller bliver tilbagekaldt.
Registrering af en Google Cloud-konto
Det første trin i konfigurationen af din opsætning involverer oprettelse af en konto hos Google Cloud Platform. Når din konto er aktiv, er det nødvendigt at oprette et nyt projekt og aktivere fakturering. Det er nødvendigt at angive dine betalingsoplysninger for at kunne fortsætte med opsætningen.Generer dit nøglepar, CSRog attesterklæring
Inden der udstedes kodesignering eller Adobe-betroede dokumentsigneringscertifikater, kræver SSL.com bekræftelse af, at kundens private signeringsnøgle blev genereret på og er sikkert indeholdt i en enhed, der er certificeret af FIPS 140-2 niveau 2 (eller højere). Denne enhed sikrer, at nøglen ikke kan udtrækkes, og verificering af denne beskyttelse kaldes attestation. Googles Cloud HSM, der bruger Marvell (tidligere Cavium)-fremstillede enheder, er i stand til at generere signerede attesteringserklæringer for kryptografiske nøgler. SSL.com kan validere disse erklæringer før udstedelse af dokumentsignerings- eller kodesigneringscertifikater. For vejledning om generering af dit nøglepar og attesterklæring, se venligst Googles Cloud Key Management-dokumentation: Når du har dit nøglepar, CSR, og attesterklæring klar, indsend dem til SSL.com til verifikation og certifikatudstedelse. Det open source værktøj af GitHub-bruger måtter til oprettelse af en CSR og at signere den ved hjælp af en privat nøgle fra Google Cloud HSM kan være særlig nyttig. SSL.com opkræver et gebyr på $500.00 USD for Google Cloud HSM-attestering. Derudover tilbyder vi forskellige prisniveauer for certifikater, der bruges på cloud HSM-platforme, afhængigt af de årlige maksimale signeringsoperationer. For detaljerede prisoplysninger, se vores Cloud HSM-prisniveauer guide. Attestationer kan udføres ved hjælp af BYOA (Bring Your Own Auditor) metode, når en HSM-ejer vælger nøglegenereringsattest uden SSL.coms tjenester. Denne metode er anvendelig til enhver Key Generation Ceremony (KGC) af en kompatibel HSM, selv dem, der ikke er dækket af SSL.com's attestation. BYOA kræver omhyggelig forberedelse for at undgå risikoen for nøgleafvisning. Sådanne problemer nødvendiggør gentagelse af ceremonien, hvilket medfører ekstra omkostninger og forsinkelser. For at forhindre disse problemer vejleder SSL.coms kundesupport- og valideringsspecialister proaktivt kunder før KGC.Bestil dit kodesigneringscertifikat
Alle SSL.com-kodesigneringscertifikater kan købes med 1-3 års varighed med rabatter for længere varigheder samt bekvemmeligheden ved kun at skulle gennemgå en valideringsproces én gang for længerevarende certifikater. Den følgende linkede artikel beskriver, hvordan du bestiller et kodesigneringscertifikat og navigerer i disse muligheder: Bestillingsproces for kode- og dokumentsigneringscertifikater. For skræddersyede løsninger, store mængderabatter, eksterne HSM-muligheder, officielle tilbud eller for enhver anden vejledning kontakt venligst sales@ssl.com.Gennemgå kontrolprocessen for at få dit certifikat
Udover at generere dit nøglepar, CSR, og attesterklæring kræver SSL.com særlige dokumenter og registreringsoplysninger, før du kan opnå et kodesigneringscertifikat. Følgende linkede artikel beskriver vurderingsprocessen: Valideringsproces for dokumentsignering, kodesignering og EV-kodesigneringscertifikater.SSL.com's EV-kodesigneringscertifikater er betroet over hele verden til digitalt at signere softwarekode med sikre digitale signaturer.