ผู้ออกใบรับรองเช่น SSL.com ได้ยกระดับมาตรฐานการจัดเก็บคีย์สำหรับ Code Signing Certificates เมื่อเร็ว ๆ นี้ โดยขณะนี้กำหนดให้จัดเก็บคีย์ส่วนตัวของใบรับรองบนโทเค็น USB จริงหรือบน Hardware Security Module (HSM) ที่เป็นไปตามข้อกำหนด
ตั้งแต่วันที่ 1 มิถุนายน 2023 ใบรับรองการลงนามโค้ด SSL.com ทั้งหมดจะหยุดการออกเป็นไฟล์ pfx ที่ดาวน์โหลดได้ การเปลี่ยนแปลงนี้เป็นไปตามฟอรัมผู้ออกใบรับรอง/เบราว์เซอร์ (CA/B) ข้อกำหนดการจัดเก็บคีย์ใหม่ เพื่อเพิ่มความปลอดภัยให้กับคีย์การเซ็นชื่อโค้ด กฎก่อนหน้านี้อนุญาตให้ออกใบรับรองการลงนามรหัสการตรวจสอบองค์กร (OV) และการตรวจสอบส่วนบุคคล (IV) เป็นไฟล์ที่ดาวน์โหลดได้ เนื่องจากข้อกำหนดใหม่อนุญาตให้ใช้เฉพาะโทเค็น USB ที่เข้ารหัสหรืออุปกรณ์ฮาร์ดแวร์ที่รองรับ FIPS บนคลาวด์เพื่อจัดเก็บใบรับรองและคีย์ส่วนตัว จึงคาดว่าอินสแตนซ์ของคีย์เซ็นชื่อโค้ดที่ถูกขโมยและใช้งานในทางที่ผิดโดยผู้ไม่ประสงค์ดีจะลดลงอย่างมาก
แม้ว่าการใช้โทเค็น USB จะสร้างความท้าทายในการผสานรวมกับไปป์ไลน์ CI/CD สมัยใหม่ และการจัดการ HSM ทางกายภาพที่สำนักงานอาจเป็นเรื่องยุ่งยาก แต่ก็มีทางเลือกอื่นที่มีประสิทธิภาพอยู่ Google Cloud นำเสนอโซลูชันที่ใช้งานได้จริง: การเช่าช่องกุญแจช่องเดียวในบริการ HSM แนวทางนี้ไม่เพียงแต่คุ้มต้นทุนเท่านั้น แต่ยังสอดคล้องกับมาตรฐานการปฏิบัติตามข้อกำหนด FIPS 140-2 ระดับ 2 ล่าสุด ขณะเดียวกันก็ขจัดความจำเป็นในการจัดการอุปกรณ์ทางกายภาพอีกด้วย บทความนี้จะแนะนำคุณตลอดขั้นตอนการตั้งค่าโซลูชันระดับกลางนี้
ใบรับรองการลงนามรหัส EV ของ SSL.com ได้รับความไว้วางใจทั่วโลกในการเซ็นรหัสซอฟต์แวร์แบบดิจิทัล ด้วยลายเซ็นดิจิทัลที่ปลอดภัย
ทำความเข้าใจกระบวนการลงนามโค้ดด้วย HSM บนคลาวด์
หากต้องการเข้าใจสาระสำคัญของขั้นตอนการลงนามโค้ดโดยใช้ Hardware Security Module (HSM) บนระบบคลาวด์ การตรวจสอบส่วนประกอบต่างๆ จะเป็นประโยชน์:- ใบรับรองการลงนามโค้ด: ใบรับรองดิจิทัลที่ออกโดยผู้ออกใบรับรอง (CA) ที่เชื่อถือได้ ซึ่งนักพัฒนาซอฟต์แวร์ใช้เพื่อลงนามซอฟต์แวร์ สคริปต์ และโปรแกรมปฏิบัติการของตนแบบดิจิทัล ใบรับรองนี้ทำหน้าที่เป็นลายเซ็นดิจิทัลที่ยืนยันตัวตนของนักพัฒนาหรือผู้เผยแพร่ และรับรองว่ารหัสจะไม่ได้รับการแก้ไขหรือบุกรุกนับตั้งแต่มีการลงนามครั้งแรก
- Google Cloud: นำเสนอบริการที่สนับสนุนการพัฒนาและการใช้งานซอฟต์แวร์ที่ปลอดภัย รวมถึงโครงสร้างพื้นฐานสำหรับการสร้างและการจัดการคีย์การเข้ารหัสอย่างปลอดภัยที่ใช้ในกระบวนการลงนามโค้ด
- Google Cloud HSM สำหรับการป้องกันคีย์: โมดูลความปลอดภัยฮาร์ดแวร์ที่แข็งแกร่งซึ่งอยู่ภายในโครงสร้างพื้นฐานของ Google Cloud ซึ่งออกแบบมาเพื่อรักษาความปลอดภัยคีย์ส่วนตัวของคุณจากการเข้าถึงที่ไม่ได้รับอนุญาต
- เครื่องมือการลงนาม: แอปพลิเคชันซอฟต์แวร์หรือยูทิลิตี้ที่ออกแบบมาเพื่อลงนามโปรแกรมซอฟต์แวร์และแอปพลิเคชันแบบดิจิทัล ลายเซ็นดิจิทัลนี้ทำให้ผู้ใช้มั่นใจได้ว่าซอฟต์แวร์จะไม่ได้รับการแก้ไขหรือถูกโจมตีนับตั้งแต่ลงนามโดยนักพัฒนาหรือผู้จัดพิมพ์
- Time Stamping Authority (TSA): บริการจากภายนอกที่เชื่อถือได้ ซึ่งโดยทั่วไปจะจัดการโดยผู้ออกใบรับรอง (CA) ของคุณ ซึ่งได้รับมอบหมายให้พิสูจน์ว่ามีการลงนามรหัสในช่วงระยะเวลาที่มีผลบังคับใช้ของใบรับรองดิจิทัลที่ใช้สำหรับการลงนาม แม้ว่าใบรับรองจะออกใบรับรองก็ตาม ภายหลังหมดอายุหรือถูกเพิกถอน
การลงทะเบียนบัญชี Google Cloud
ขั้นตอนแรกในการกำหนดค่าการตั้งค่าของคุณคือการสร้างบัญชีด้วย Google Cloud Platform- เมื่อบัญชีของคุณใช้งานได้แล้ว จำเป็นต้องสร้างโปรเจ็กต์ใหม่และ เปิดใช้งานการเรียกเก็บเงิน- การให้ข้อมูลการชำระเงินของคุณเป็นสิ่งจำเป็นเพื่อให้สามารถดำเนินการตั้งค่าต่อไปได้สร้างคู่คีย์ของคุณ CSRและคำรับรอง
ก่อนที่จะออกใบรับรองการลงนามโค้ดหรือใบรับรองการลงนามเอกสารที่ Adobe เชื่อถือ SSL.com จำเป็นต้องได้รับการยืนยันว่าคีย์การลงนามส่วนตัวของลูกค้าถูกสร้างขึ้นและเก็บไว้อย่างปลอดภัยภายในอุปกรณ์ที่ได้รับการรับรองโดย FIPS 140-2 ระดับ 2 (หรือสูงกว่า) อุปกรณ์นี้ช่วยให้แน่ใจว่าไม่สามารถดึงคีย์ออกมาได้ และการตรวจสอบการป้องกันนี้เรียกว่าการรับรอง Cloud HSM ของ Google ซึ่งใช้อุปกรณ์ที่ผลิตขึ้นโดย Marvell (เดิมคือ Cavium) สามารถสร้างข้อความรับรองที่ลงนามสำหรับคีย์การเข้ารหัสได้ SSL.com สามารถตรวจสอบข้อความเหล่านี้ก่อนที่จะออกใบรับรองการลงนามเอกสารหรือใบรับรองการลงนามรหัส หากต้องการคำแนะนำในการสร้างคู่คีย์และคำรับรอง โปรดอ่านเอกสารการจัดการคีย์ระบบคลาวด์ของ Google: เมื่อคุณมีคู่กุญแจแล้ว CSRและคำรับรองพร้อมแล้ว ให้ส่งไปที่ SSL.com เพื่อตรวจสอบและออกใบรับรอง ที่ เครื่องมือโอเพ่นซอร์ส โดยผู้ใช้ GitHub Mattes สำหรับการสร้างไฟล์ CSR และการลงนามโดยใช้คีย์ส่วนตัวจาก Google Cloud HSM จะมีประโยชน์อย่างยิ่ง SSL.com เรียกเก็บค่าธรรมเนียม 500.00 ดอลลาร์สหรัฐฯ สำหรับการรับรอง Google Cloud HSM นอกจากนี้ เรายังมอบระดับราคาที่หลากหลายสำหรับใบรับรองที่ใช้บนแพลตฟอร์ม Cloud HSM โดยขึ้นอยู่กับการดำเนินการลงนามสูงสุดต่อปี สำหรับข้อมูลการกำหนดราคาโดยละเอียด โปรดดูที่ของเรา ระดับราคา Cloud HSM แนะนำ การรับรองสามารถทำได้โดยใช้ บีโอเอ (นำผู้ตรวจสอบบัญชีของคุณเอง) เมื่อเจ้าของ HSM เลือกใช้การรับรองการสร้างคีย์โดยไม่มีบริการของ SSL.com วิธีการนี้ใช้ได้กับ Key Generation Ceremony (KGC) ของ HSM ที่เป็นไปตามข้อกำหนด แม้ว่าจะไม่ครอบคลุมอยู่ในการรับรองของ SSL.com ก็ตาม BYOA ต้องการการเตรียมการอย่างพิถีพิถันเพื่อหลีกเลี่ยงความเสี่ยงที่จะถูกปฏิเสธคีย์ ปัญหาดังกล่าวจำเป็นต้องจัดพิธีซ้ำ ทำให้เกิดค่าใช้จ่ายเพิ่มเติมและความล่าช้า เพื่อป้องกันปัญหาเหล่านี้ ฝ่ายสนับสนุนลูกค้าและผู้เชี่ยวชาญด้านการตรวจสอบความถูกต้องของ SSL.com จะแนะนำลูกค้าในเชิงรุกต่อหน้า KGCสั่งซื้อใบรับรองการลงนามรหัสของคุณ
ใบรับรองการลงนามโค้ด SSL.com ทั้งหมดสามารถซื้อได้โดยมีระยะเวลา 1-3 ปีพร้อมส่วนลดสำหรับระยะเวลาที่นานกว่า รวมถึงความสะดวกในการต้องผ่านกระบวนการตรวจสอบความถูกต้องเพียงครั้งเดียวสำหรับใบรับรองที่มีระยะเวลานานกว่า บทความที่เชื่อมโยงต่อไปนี้ให้รายละเอียดวิธีการสั่งซื้อใบรับรองการลงนามรหัสและนำทางตัวเลือกเหล่านี้: ขั้นตอนการสั่งซื้อรหัสและใบรับรองการลงนามเอกสาร. สำหรับโซลูชันแบบกำหนดเอง ส่วนลดจำนวนมาก ตัวเลือก HSM ภายนอก ใบเสนอราคาอย่างเป็นทางการ หรือคำแนะนำอื่นใด โปรดติดต่อ ขาย@ssl.comเข้าสู่กระบวนการตรวจคัดกรองเพื่อรับใบรับรองของคุณ
นอกเหนือจากการสร้างคู่คีย์ของคุณแล้ว CSRและคำรับรอง SSL.com ต้องใช้เอกสารและข้อมูลการลงทะเบียนเฉพาะก่อนที่คุณจะได้รับใบรับรองการลงนามรหัส บทความที่เชื่อมโยงต่อไปนี้ให้รายละเอียดเกี่ยวกับกระบวนการตรวจคัดกรอง: กระบวนการตรวจสอบความถูกต้องสำหรับการลงนามเอกสาร การลงนามรหัส และใบรับรองการลงนามรหัส EV.ใบรับรองการลงนามรหัส EV ของ SSL.com ได้รับความไว้วางใจทั่วโลกในการเซ็นรหัสซอฟต์แวร์แบบดิจิทัล ด้วยลายเซ็นดิจิทัลที่ปลอดภัย
