Les autorités de certification telles que SSL.com ont récemment renforcé les normes de stockage des clés pour les certificats de signature de code, exigeant désormais le stockage de la clé privée du certificat soit sur un jeton USB physique, soit sur un module de sécurité matériel (HSM) conforme.
Depuis le 1er juin 2023, tous les certificats de signature de code SSL.com ont cessé d'être émis sous forme de fichiers pfx téléchargeables. Ce changement est conforme aux directives du forum des autorités de certification/navigateurs (CA/B). nouvelles exigences de stockage des clés pour augmenter la sécurité des clés de signature de code. La règle précédente permettait d’émettre des certificats de signature de code de validation d’organisation (OV) et de validation individuelle (IV) sous forme de fichiers téléchargeables. Étant donné que les nouvelles exigences autorisent uniquement l'utilisation de jetons USB cryptés ou d'appareils matériels compatibles FIPS basés sur le cloud pour stocker le certificat et la clé privée, on s'attend à ce que les cas de clés de signature de code volées et utilisées à mauvais escient par des acteurs malveillants soient considérablement réduits.
Bien que l'utilisation de jetons USB présente des défis d'intégration avec les pipelines CI/CD modernes et que la gestion d'un HSM physique au bureau puisse être fastidieuse, il existe une alternative efficace. Google Cloud propose une solution pratique : la location d'un seul emplacement de clé sur son service HSM. Cette approche est non seulement rentable, mais elle est également conforme aux dernières normes de conformité FIPS 140-2 niveau 2, tout en éliminant le besoin de gestion physique des appareils. Cet article vous guidera tout au long du processus de configuration de cette solution intermédiaire.
Certificats de signature de code EV de SSL.com sont reconnus dans le monde entier pour signer numériquement le code logiciel avec des signatures numériques sécurisées.
Comprendre le processus de signature de code avec un HSM basé sur le cloud
Pour comprendre l'essence de la procédure de signature de code utilisant un module de sécurité matérielle (HSM) basé sur le cloud, il est utile d'examiner les composants :- Certificat de signature de code : certificat numérique émis par une autorité de certification (CA) de confiance que les développeurs de logiciels utilisent pour signer numériquement leurs logiciels, scripts et exécutables. Ce certificat sert de signature numérique qui vérifie l'identité du développeur ou de l'éditeur et garantit que le code n'a pas été modifié ou compromis depuis sa signature initiale.
- Google Cloud : propose des services prenant en charge le développement et le déploiement sécurisés de logiciels, y compris une infrastructure permettant de générer et de gérer en toute sécurité les clés cryptographiques utilisées dans le processus de signature de code.
- Google Cloud HSM pour la protection des clés : un module de sécurité matérielle robuste hébergé dans l'infrastructure de Google Cloud, dédié à sécuriser votre clé privée contre tout accès non autorisé.
- Outil de signature : application logicielle ou utilitaire conçu pour signer numériquement des programmes et des applications logiciels. Cette signature numérique garantit à l'utilisateur final que le logiciel n'a pas été modifié ou compromis depuis sa signature par le développeur ou l'éditeur.
- Time Stamping Authority (TSA) : service tiers de confiance, généralement géré par votre autorité de certification (CA), chargé de prouver que le code a été signé pendant la période de validité du certificat numérique utilisé pour la signature, même si le certificat expire plus tard ou est révoqué.
Enregistrement d'un compte Google Cloud
La première étape de la configuration de votre configuration consiste à créer un compte avec Google Cloud Platform. Une fois votre compte actif, il est nécessaire de créer un nouveau projet et activer la facturation. La fourniture de vos informations de paiement est nécessaire pour pouvoir procéder à la configuration.Générez votre bi-clé, CSR, et déclaration d'attestation
Avant d'émettre des certificats de signature de code ou de signature de documents approuvés par Adobe, SSL.com exige la confirmation que la clé de signature privée du client a été générée et est contenue en toute sécurité dans un appareil certifié FIPS 140-2 niveau 2 (ou supérieur). Ce dispositif garantit que la clé ne peut pas être extraite, et la vérification de cette protection est appelée attestation. Le Cloud HSM de Google, utilisant des appareils fabriqués par Marvell (anciennement Cavium), est capable de générer des déclarations d'attestation signées pour les clés cryptographiques. SSL.com peut valider ces déclarations avant de délivrer des certificats de signature de documents ou de signature de code. Pour obtenir des conseils sur la génération de votre paire de clés et de votre déclaration d'attestation, veuillez consulter la documentation Cloud Key Management de Google : Une fois que vous avez votre paire de clés, CSRet la déclaration d'attestation prête, soumettez-les à SSL.com pour vérification et émission du certificat. Le outil open-source par l'utilisateur de GitHub mat pour créer un CSR et le signer à l'aide d'une clé privée de Google Cloud HSM peut être particulièrement utile. SSL.com facture des frais de 500.00 USD pour l'attestation Google Cloud HSM. De plus, nous proposons différents niveaux de tarification pour les certificats utilisés sur les plateformes cloud HSM, en fonction du nombre annuel maximum d'opérations de signature. Pour des informations détaillées sur les prix, reportez-vous à notre Niveaux de tarification Cloud HSM guider. Les attestations peuvent être effectuées à l'aide du BYOA (Bring Your Own Auditor) lorsqu'un propriétaire de HSM opte pour une attestation de génération de clé sans les services de SSL.com. Cette méthode est applicable pour toute cérémonie de génération de clés (KGC) d'un HSM conforme, même celles non couvertes par l'attestation de SSL.com. BYOA nécessite une préparation minutieuse pour éviter le risque de rejet de clé. De tels problèmes nécessitent de répéter la cérémonie, ce qui entraîne des coûts et des retards supplémentaires. Pour éviter ces problèmes, les spécialistes du support client et de la validation de SSL.com guident de manière proactive les clients avant le KGC.Commandez votre certificat de signature de code
Tous les certificats de signature de code SSL.com peuvent être achetés pour des durées de 1 à 3 ans avec des réductions pour des durées plus longues ainsi que la commodité de ne devoir subir qu'un seul processus de validation pour les certificats de plus longue durée. L'article lié suivant explique comment commander un certificat de signature de code et parcourir ces options : Processus de commande des certificats de signature de code et de document. Pour des solutions personnalisées, des remises sur volume élevé, des options HSM externes, des devis officiels ou pour toute autre orientation, veuillez contacter ventes@ssl.com.Suivre le processus de vérification pour obtenir votre certificat
En plus de générer votre paire de clés, CSR, et déclaration d'attestation, SSL.com exige des documents particuliers et des informations d'enregistrement avant de pouvoir obtenir un certificat de signature de code. L'article lié suivant détaille le processus de vérification : Processus de validation des certificats de signature de document, de signature de code et de signature de code EV.Certificats de signature de code EV de SSL.com sont reconnus dans le monde entier pour signer numériquement le code logiciel avec des signatures numériques sécurisées.
