行业新闻与博客

OV 代码签名证书和密钥生成方法正在进行全面检查。它们将以类似于当前 EV 代码签名证书颁发方式的过程在物理安全硬件上颁发。探索这一变化对您的组织意味着什么

今年早些时候， NVIDIA 经历了当坏人获得您组织的一些最敏感的数字资产时发生的事情：代码签名证书。网络罪犯使用这些被盗的证书来签署他们的恶意软件。目的？使恶意程序看起来像是合法地来自图形处理器公司。

防止此类攻击是 CA/B 论坛投票决定对代码签名证书的颁发和安装过程进行一些更改的原因。但是这些变化对您的业务和代码签名操作意味着什么？

让我们讨论一下。

您需要了解的内容（OV 代码签名证书变更概述）

我们不会深入探讨所有细节，因为证书颁发机构 (CA) 仍在对它们进行哈希处理。我们在这里的目的是让您快速了解未来几个月的预期情况。我们将在几个月后发布另一篇博客文章，一旦我们从 CA 那里了解更多信息，就会更多地讨论具体细节。

变革推出后会发生什么

从 11 月 15 日开始，新的和重新颁发的公共可信组织验证 (OV) 和个人验证 (IV) 代码签名证书将必须由颁发证书的机构 (CA) 颁发或存储在预先配置的安全硬件上。特别是，这包括 FIPS 140-2 2 级、通用标准 EAL 4+（或同等）兼容设备或签名解决方案（至少），例如：

• 硬件安全模块 (HSM)，云或物理设备
• 物理安全令牌，例如 USB 硬件设备
• 密钥存储和签名服务

注意：FIPS 代表联邦信息处理标准 (FIPS)。稍后我们将详细讨论符合 FIPS 的设备。

实际上，这意味着所有代码签名证书都将以类似于今天 EV 代码签名证书的方式交付——通过 USB 设备交付给客户，交付给客户的硬件安全模块 (HSM)，等等。（一旦各个 CA 宣布，我们将分享有关所有这些将如何运作的具体细节。）

但一个重要的收获是，您将不再需要自己完成证书签名请求 (CSR)，因为所有这些技术内容都将在 CA 端处理。

为什么会发生这些变化

这些更改在 CA/ 浏览器论坛 (CA/B Forum) 代码签名的发布和管理的基线要求 (BR)（版本 2.8）中进行了概述。它是通过 Ballot CSC-13 — Update to Subscriber Key Protections Requirements 更新的，适用于之前版本的基线要求 (v. 2.7)。这里的想法是使证书的私钥与扩展验证 (EV) 代码签名证书一样安全。

为此，这意味着需要安全地存储密钥，以防止它们落入坏人（和其他未经授权的用户）之手。根据代码签名证书 BR（版本 2.8）的 16.3.1 订户私钥保护部分：

“CA 必须从订户处获得一份合同表示，即订户将使用以下选项之一在硬件加密模块中生成和保护其代码签名证书私钥，其单元设计外形尺寸经认证至少符合 FIPS 140 -2 2 级或通用标准 EAL 4+”

何时进行正式更改

更改将于 2022 年 11 月 15 日星期二协调世界时 (UTC) 上午 12 点发生——对于我们的美国读者来说，即东部标准时间 (EST) 2022 年 11 月 14 日星期一晚上 7 点。但是，需要注意的是，一些证书颁发机构（例如 DigiCert、Sectigo 等）可能会选择提前实施更改，以确保有时间在 CA/B 论坛的正式截止日期之前解决任何问题！

同样，一旦 CA 最终确定他们的计划，我们将分享更多细节。

谁将受到这些变化的影响

这项全行业的授权将影响在 11 月推出时或之后购买新 OV 代码签名证书的任何人。（这也可能会影响当前的 OV 代码签名证书持有者，他们也会重新颁发或更新现有证书。）如果您是拥有 IV 代码签名证书的个人开发人员怎么办？是的，这一变化也会对您产生影响。

但是，请务必注意，如果您拥有在正式更改之前颁发的现有有效代码签名证书，则此更改不会以同样的方式影响您。当然，CA 将不得不建议您以相同的方法之一存储您的密钥。但是您仍然可以像往常一样继续签署您的软件和其他可执行文件。

在 11 月日期之前的现有证书持有者必须向他们的 CA 确认他们将使用安全方法（可信平台模块、硬件加密模块或硬件安全令牌）来生成和保护他们的密钥。在 11 月推出之后，证书持有者必须确认他们将使用以下其中一项来安全地存储他们的密钥：

• HSM 或硬件安全令牌
• 基于云的密钥生成和保护解决方案
• 满足 CA/B 论坛的基本要求第 16.2 节中概述的要求的签名服务

为什么要保护您的代码签名证书和关键事项

代码签名是您或您的组织为您的代码、软件或其他可执行文件断言组织的数字身份的一种方式。这就是看到“Your Company, Inc.”的区别。在 Windows 用户帐户控制弹出字段与“发布者：未知”警告消息中。没有人希望在尝试下载或安装您的软件时显示后者。

如果您想让人们相信您的软件是正版的并且坏人没有弄乱它，那么显示这些丑陋的警告可不是什么好事。不使用它们就像在您的公司名称和徽标旁边放置一个闪烁的霓虹灯标志，上面写着“我不值得信赖”。对您的软件进行数字签名会将您组织的身份融入到您的软件和代码中，用户知道它是真实的，并且自签名后就没有受到损害。

如果不安全地存储您的密钥，您的证书可能会变得不受信任，并且如果坏人使用它以您的名义签署和分发恶意软件，您的组织将承担责任。