SSL.com fournit des services de signature cloud à distance clé en main via notre API d'opérations de signature eSigner qui inclut le stockage et la gestion des clés privées.
Cependant, de nombreux utilisateurs préfèrent utiliser leur propre service HSM ou HSM cloud pour stocker les clés privées utilisées pour signer des documents.
Les signatures LTV permettent une vérification sans recourir à des systèmes ou référentiels externes. Toutes les informations de validation nécessaires sont incluses dans le document lui-même, ce qui le rend autonome. Ceci est particulièrement important pour la vérification à long terme, car les systèmes ou référentiels externes peuvent devenir indisponibles ou changer au fil du temps.
Avec les signatures LTV, le processus de vérification reste indépendant et autosuffisant.
Vous trouverez ci-dessous une liste de bonnes pratiques auxquelles les utilisateurs peuvent se référer afin d'activer les signatures LTV pour la signature de documents lors de l'utilisation de votre propre service HSM ou HSM cloud.
- Préparer le document: Assurez-vous que le document que vous souhaitez signer est dans un format approprié, tel que PDF/A ou un simple document PDF. PDF/A est spécialement conçu pour l'archivage à long terme et garantit le maintien de l'intégrité du document dans le temps.
- Utiliser des horodatages cryptographiques: Les signatures LTV nécessitent une source de temps fiable et fiable. Les horodatages cryptographiques fournissent cela en liant de manière sécurisée la signature à une heure spécifique, empêchant ainsi toute antidatation ou falsification. Utilisez une autorité d'horodatage fiable telle que SSL.com ou un service d'horodatage interne au sein de votre organisation.
Le serveur d'horodatage de SSL.com est à http://ts.ssl.com/. Par défaut, SSL.com prend en charge les horodatages des clés ECDSA.Si vous rencontrez cette erreur : Le certificat d'horodatage ne répond pas à une exigence de longueur minimale de clé publique, il se peut que votre fournisseur HSM n'autorise pas les horodatages à partir des clés ECDSA, sauf si une demande est faite.
S'il n'existe aucun moyen pour votre fournisseur HSM d'autoriser l'utilisation du point de terminaison normal, vous pouvez utiliser ce point de terminaison existant. http://ts.ssl.com/legacy pour obtenir un horodatage d'une unité d'horodatage RSA.
- Conserver les informations de révocation du certificat: Pour maintenir la validité des signatures dans le temps, il est crucial de conserver les informations de révocation du certificat. Cela inclut les listes de révocation de certificats (CRL) ou les réponses OCSP (Online Certificate Status Protocol) utilisées pour vérifier le certificat du signataire.
Pour les utilisateurs du langage Java, vous pouvez vous référer au Bibliothèque Java PDFBox qui contient des exemples pour créer des signatures LTV. Il comprend également des exemples d’horodatage de signature.
Voici un exemple de code sur la façon d'intégrer les informations de révocation (CRL) de la chaîne de certificat de signature de document dans le document PDF : https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Archiver les documents signés: Conservez une archive sécurisée et organisée de tous les documents signés, y compris les versions intermédiaires. Cela garantit que les documents signés et les informations de validation associées, telles que les horodatages et les données de révocation, sont facilement disponibles pour une vérification à long terme. Mettez en œuvre des mécanismes de stockage appropriés pour empêcher tout accès non autorisé, toute falsification ou toute perte de données.
- Vérifier la signature: Mettre en œuvre un processus de vérification pour garantir que la signature peut être validée correctement. Cela implique d'utiliser la clé publique associée au certificat de signature pour vérifier l'intégrité de la signature, de vérifier la validité de l'horodatage et de vérifier l'état de révocation du certificat.
- Configurer correctement les HSM: Assurez-vous que les HSM sont correctement configurés et entretenus, et qu'ils respectent les normes de l'industrie et les meilleures pratiques en matière de gestion des clés, telles que la rotation des clés, des contrôles d'accès stricts et des audits réguliers.
- Surveiller et mettre à jour les contrôles de sécurité: surveillez régulièrement les contrôles de sécurité et les configurations de votre infrastructure de signature, y compris les HSM, les services d'horodatage et les systèmes de stockage. Restez à jour grâce aux correctifs de sécurité, aux mises à jour du micrologiciel et aux meilleures pratiques du secteur pour les technologies HSM et de signature de documents.
Pour des solutions de signature de documents HSM autogérées, contactez ventes@ssl.com.
Pour un guide sur les HSM cloud pris en charge par SSL.com, veuillez consulter cet article : HSM cloud pris en charge pour la signature de documents et la signature de code EV.
Formulaire de demande de service Cloud HSM
Si vous souhaitez commander des certificats numériques à installer sur une plate-forme HSM cloud prise en charge (AWS CloudHSM ou Azure Dedicated HSM), veuillez remplir et soumettre le formulaire ci-dessous. Après réception de votre demande, un membre du personnel de SSL.com vous contactera avec plus de détails sur le processus de commande et d'attestation.