A partire dal 1 Giugno 2023, le private key per i certificati Code Signing Standard dovranno essere archiviate su un dispositivo hardware certificato come FIPS 140 livello 2, Common Criteria L 4+ o equivalente.
Questa modifica rafforza la protezione della private key per i certificati Code Signing e la allinea alla protezione della private key dei certificati Code Signing EV (Extended Validation).
In che modo influisce questo nuovo requisito?
La novità riguarda i certificati Code Signing emessi dal 1 Giugno 2023 e in particolar modo :
- Archiviazione della private key e l’installazione di certificati
- Codice di firma
- Ordine e rinnovo dei certificati
- Riemissione dei certificati
Archiviazione private key ed installazione di certificati
Le Certificate Authorities (CA) non possono più supportare la generazione di chiavi basata su browser e l’installazione di certificati o qualsiasi altro processo che includa la creazione di un CSR e l’installazione del certificato su un laptop o server.
Le private key e i certificati dovranno essere archiviati e installati su token o HSM (moduli di sicurezza hardware) certificati almeno come FIPS 140-2 Livello 2 o Common Criteria EAL 4+.
Code Signing
Per utilizzare un certificato Code Signing è necessario accedere al token o all’HSM e alle credenziali per utilizzare il certificato in esso archiviato.
Ordine e rinnovo dei certificati Code Signing dopo il 1 Giugno 2023
Quando si ordina e si rinnova un certificato Code Signing standard, è necessario selezionare un metodo di provisioning.
In altre parole, è necessario scegliere l’hardware su cui archiviare la private key per i certificati Code Signing Standard.
Come per il Code Signing EV ci sono 3 opzioni di provisioning:
- Utilizzare un token hardware preconfigurato fornito da DigiCert
- Utilizzare il proprio token hardware supportato
- Installare il certificato su un dispositivo HSM
I token e i dispositivi HSM devono essere certificati come FIPS 140 Livello 2, Common Criteria EAL 4+ o equivalente. Per utilizzare un HSM, è necessario inviare una lettera di attestazione che includa una lettera di audit.
Riemissione certificati dopo il 1 Giugno 2023
Quando si riemettono certificati Code Signing, è necessario installare il certificato su un token o su un dispositivo HSM.
Scopri di più sui Certificati Code Signing e sui certificati Code Signing EV.