摘要:根据CA/B论坛发布的最新关于OV代码签名的使用标准,自2022年11月15日起,OV代码签名证书必须存储在硬件设备中,包括eToken硬件、硬件安全模块HSM等,就像EV代码签名证书一样。此次变更旨在增强保护代码签名证书私钥。
根据CA/B论坛发布的最新关于OV代码签名的使用标准,自2022年11月15日起,OV代码签名证书必须存储在硬件设备中,包括eToken硬件、硬件安全模块HSM等,就像EV代码签名证书一样。此次变更旨在增强保护代码签名证书私钥。
1、代码签名证书新规对你有什么影响?
如果是11月15日之前颁发的OV代码签名证书,用户可以继续正常使用,不受此新规影响。因此,有需要“软证书”的软件开发者请抓紧在新规执行时间之前签发。
当用户在11月15日之后重签、续费、新购OV代码签名证书时,则需要遵守新规,选择符合存储私钥的硬件类型,以便安全获取存储最新代码签名证书和私钥。
注意:部分CA机构可能将提前实施更改。
2、这意味着什么?
第一,OV代码签名证书和私钥将得到更好的保护。OV代码签名证书在新标准出来之前都是以文本文件的形式存储证书和私钥文件,我们通常将其理解为“软证书”。这样的存储形式可以在线进行转发,只要拥有证书和私钥文件就可以利用签名工具对软件代码进行签名,存在着很大的私钥泄露的风险。而将OV代码签名证书储存在安全令牌上面,私钥直接在令牌中生成和存储,避免多人在使用代码签名证书时造成人为证书和私钥泄漏,具有更高的安全性。
第二,证书使用的灵活性将有一定的牺牲OV代码签名证书储存在硬件安全令牌上面后,证书签名使用上面更加规范和严谨,但是也会牺牲一定的便利性。比如:有多人需要签名时,不能像之前一样在线进行证书交付使用,必须进行硬件交接,或者在申请的时候将证书提取到不同的硬件中,以供多人使用。如果是流程打包签名则需要使用安全模块HSM进行在线签名,而HSM的成本又很高。综合来说,新的存储形式使用起来确实是减少了一些便利性。
如果广大用户对于新规变化、新规下的SSL证书操作流程等方面仍有疑问,欢迎咨询新网: