为什么OV代码签名证书升级“硬证书”?
发布日期:2023-04-28国际组织CA/B论坛(CA/B Forum)在最新版本的《基线要求》中提出:从2023年6月1日起,新颁发的OV代码签名证书及私钥必须在安全硬件中生成并存储。
由于存储介质不同,数字证书可分为“软证书”和“硬证书”。“软证书”,即以电子文件的形式交付证书文件,可存储在电脑、手机、应用系统等各类应用环境中;而“硬证书”则是在硬件安全介质中生成并存储证书及私钥,不支持导出,必须结合硬件介质使用。
新规发布前,全球的OV代码签名证书都是“软证书”格式,签发后的证书以电子文件形式提供给证书申请单位下载,证书申请单位可共享证书文件给跨地区的不同部门使用。从使用上来说,软证书更加便捷高效,但从安全上来说,硬证书具备更强的安全性和可靠性。
CA/B论坛基线指南要求,自2023年6月1日起,代码签名证书及私钥需要由FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的硬件加密模块中进行保护,如硬件安全模块(HSM)、硬件存储令牌、符合要求的基于云的密钥生成和保护解决方案、符合要求的签名服务等方式。
HSM是硬件安全模块的英语缩写,全称是Hardware Security Module,是一种具有防篡改性能的硬件设备,它们通过生成密钥、加密解密数据以及创建和验证数字签名,确保数据的机密性、完整性、可靠性。将数字证书密钥托管在硬件安全模块(HSM)中,利用硬件机制来保护密钥的明文不会离开HSM的安全边界。用户使用HSM密钥进行运算时,密码运算的过程也只会发生在HSM中,从而保证了密钥的私密性,满足更高等级的数字证书安全需求。
沃通OV代码签名证书(标准代码签名证书Pro、标准代码签名证书)也将严格执行国际标准要求,在2023年6月1日前全面实现“硬证书”升级,购买或续费购买新的OV代码签名证书时,证书申请者需要选择存储私钥的硬件类型:
- 使用沃通配置的硬件令牌
- 使用您自己准备的硬件令牌
- 安装在硬件安全模块(HSM)上
而对于需要在特定应用环境中使用软证书签名的客户,建议在新规生效前,提前申请三年期OV代码签名证书(软证书)。新规生效前签发的证书,在证书有效期内仍可正常使用,直至证书到期。关于OV代码签名证书的更多信息,访问沃通CA官网咨询。