Autoridades de certificação como SSL.com aumentaram recentemente os padrões de armazenamento de chaves para Certificados de Assinatura de Código, exigindo agora o armazenamento da chave privada do certificado em um token USB físico ou em um Módulo de Segurança de Hardware (HSM) compatível.
A partir de 1º de junho de 2023, todos os certificados de assinatura de código SSL.com deixaram de ser emitidos como arquivos pfx para download. Esta alteração está em conformidade com o Fórum da Autoridade de Certificação/Navegador (CA/B) novos requisitos de armazenamento de chaves para aumentar a segurança das chaves de assinatura de código. A regra anterior permitia que certificados de assinatura de código de Validação Organizacional (OV) e Validação Individual (IV) fossem emitidos como arquivos para download. Como os novos requisitos permitem apenas o uso de tokens USB criptografados ou dispositivos de hardware compatíveis com FIPS baseados em nuvem para armazenar o certificado e a chave privada, espera-se que os casos de roubo e uso indevido de chaves de assinatura de código por agentes mal-intencionados sejam bastante reduzidos.
Embora o uso de tokens USB apresente desafios na integração com pipelines modernos de CI/CD e o gerenciamento de um HSM físico no escritório possa ser complicado, existe uma alternativa eficiente. O Google Cloud oferece uma solução prática: alugar um único slot de chave em seu serviço HSM. Essa abordagem não é apenas econômica, mas também está alinhada aos mais recentes padrões de conformidade FIPS 140-2 Nível 2, ao mesmo tempo que elimina a necessidade de gerenciamento de dispositivos físicos. Este artigo irá guiá-lo através do processo de configuração desta solução intermediária.
Certificados de assinatura de código EV da SSL.com são confiáveis em todo o mundo para assinar código de software digitalmente com assinaturas digitais seguras.
Compreendendo o processo de assinatura de código com um HSM baseado em nuvem
Para compreender a essência do procedimento de assinatura de código utilizando um Módulo de Segurança de Hardware (HSM) baseado em nuvem, é útil examinar os componentes:- Certificado de assinatura de código: um certificado digital emitido por uma autoridade de certificação (CA) confiável que os desenvolvedores de software usam para assinar digitalmente seus softwares, scripts e executáveis. Este certificado serve como uma assinatura digital que verifica a identidade do desenvolvedor ou editor e garante que o código não foi alterado ou comprometido desde que foi originalmente assinado.
- Google Cloud: oferece serviços que oferecem suporte ao desenvolvimento e implantação seguros de software, incluindo infraestrutura para geração e gerenciamento seguro de chaves criptográficas usadas no processo de assinatura de código.
- HSM do Google Cloud para proteção de chaves: um módulo robusto de segurança de hardware alojado na infraestrutura do Google Cloud, dedicado a proteger sua chave privada contra acesso não autorizado.
- Ferramenta de assinatura: Um aplicativo de software ou utilitário projetado para assinar digitalmente programas e aplicativos de software. Esta assinatura digital garante ao usuário final que o software não foi alterado ou comprometido desde que foi assinado pelo desenvolvedor ou editor.
- Autoridade de carimbo de data / hora (TSA): um serviço confiável de terceiros, normalmente gerenciado por sua Autoridade de Certificação (CA), que tem a tarefa de provar que o código foi assinado durante o período de validade do certificado digital usado para assinatura, mesmo que o certificado mais tarde expira ou é revogado.
Registrando uma conta do Google Cloud
A primeira etapa na configuração de sua configuração envolve estabelecer uma conta com Google Cloud Platform. Uma vez que sua conta esteja ativa, é necessário criar um novo projeto e ativar faturamento. É necessário fornecer suas informações de pagamento para poder prosseguir com a configuração.Gere seu par de chaves, CSRe declaração de atestado
Antes de emitir certificados de assinatura de código ou de assinatura de documentos confiáveis da Adobe, SSL.com exige a confirmação de que a chave de assinatura privada do cliente foi gerada e está contida com segurança em um dispositivo certificado pelo FIPS 140-2 Nível 2 (ou superior). Este dispositivo garante que a chave não possa ser extraída e a verificação dessa proteção é chamada de atestado. O Cloud HSM do Google, utilizando dispositivos fabricados pela Marvell (anteriormente Cavium), é capaz de gerar declarações de atestado assinadas para chaves criptográficas. SSL.com pode validar essas declarações antes de emitir certificados de assinatura de documento ou assinatura de código. Para obter orientação sobre como gerar seu par de chaves e declaração de atestado, consulte a documentação do Cloud Key Management do Google: Depois de ter seu par de chaves, CSRe a declaração de atestado estiver pronta, envie-os para SSL.com para verificação e emissão de certificado. O ferramenta de código aberto por usuário do GitHub Mates para criar um CSR e assiná-lo usando uma chave privada do Google Cloud HSM pode ser particularmente útil. SSL.com cobra uma taxa de US$ 500.00 pelo atestado HSM do Google Cloud. Além disso, fornecemos vários níveis de preços para certificados usados em plataformas HSM em nuvem, dependendo das operações máximas anuais de assinatura. Para obter informações detalhadas sobre preços, consulte nosso Níveis de preços do Cloud HSM guia. Os atestados podem ser realizados usando o Traga sua própria bebida Método (Traga seu próprio auditor) quando um proprietário de HSM opta pelo atestado de geração de chave sem os serviços de SSL.com. Este método é aplicável a qualquer Cerimônia de Geração de Chave (KGC) de um HSM compatível, mesmo aqueles não cobertos pelo atestado de SSL.com. BYOA exige uma preparação meticulosa para evitar o risco de rejeição importante. Tais questões exigem a repetição da cerimónia, incorrendo em custos e atrasos adicionais. Para evitar esses problemas, os especialistas em validação e suporte ao cliente do SSL.com orientam proativamente os clientes antes do KGC.Solicite seu certificado de assinatura de código
Todos os certificados de assinatura de código SSL.com podem ser adquiridos com durações de 1 a 3 anos, com descontos para durações mais longas, bem como a conveniência de ter que passar por um processo de validação apenas uma vez para certificados de maior duração. O artigo vinculado a seguir detalha como solicitar um certificado de assinatura de código e navegar por essas opções: Processo de Pedido de Certificados de Assinatura de Código e Documento. Para soluções personalizadas, descontos de alto volume, opções externas de HSM, cotações oficiais ou qualquer outra orientação, entre em contato sales@ssl.com.Passe pelo processo de verificação para obter seu certificado
Além de gerar seu par de chaves, CSR, e declaração de atestado, SSL.com requer documentos específicos e informações de registro antes que você possa obter um certificado de assinatura de código. O artigo vinculado a seguir detalha o processo de verificação: Processo de validação para assinatura de documento, assinatura de código e certificados de assinatura de código EV.Certificados de assinatura de código EV da SSL.com são confiáveis em todo o mundo para assinar código de software digitalmente com assinaturas digitais seguras.