为什么OV代码签名证书升级“硬证书”？

国际组织CA/B论坛（CA/B Forum）在最新版本的《基线要求》中提出：从2023年6月1日起，新颁发的OV代码签名证书及私钥必须在安全硬件中生成并存储。

由于存储介质不同，数字证书可分为“软证书”和“硬证书”。“软证书”，即以电子文件的形式交付证书文件，可存储在电脑、手机、应用系统等各类应用环境中；而“硬证书”则是在硬件安全介质中生成并存储证书及私钥，不支持导出，必须结合硬件介质使用。

新规发布前，全球的OV代码签名证书都是“软证书”格式，签发后的证书以电子文件形式提供给证书申请单位下载，证书申请单位可共享证书文件给跨地区的不同部门使用。从使用上来说，软证书更加便捷高效，但从安全上来说，硬证书具备更强的安全性和可靠性。

CA/B论坛基线指南要求，自2023年6月1日起，代码签名证书及私钥需要由FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的硬件加密模块中进行保护，如硬件安全模块(HSM)、硬件存储令牌、符合要求的基于云的密钥生成和保护解决方案、符合要求的签名服务等方式。

HSM是硬件安全模块的英语缩写，全称是Hardware Security Module，是一种具有防篡改性能的硬件设备，它们通过生成密钥、加密解密数据以及创建和验证数字签名，确保数据的机密性、完整性、可靠性。将数字证书密钥托管在硬件安全模块（HSM）中，利用硬件机制来保护密钥的明文不会离开HSM的安全边界。用户使用HSM密钥进行运算时，密码运算的过程也只会发生在HSM中，从而保证了密钥的私密性，满足更高等级的数字证书安全需求。

沃通OV代码签名证书（标准代码签名证书Pro、标准代码签名证书）也将严格执行国际标准要求，在2023年6月1日前全面实现“硬证书”升级，购买或续费购买新的OV代码签名证书时，证书申请者需要选择存储私钥的硬件类型：

• 使用沃通配置的硬件令牌
• 使用您自己准备的硬件令牌
• 安装在硬件安全模块（HSM）上

而对于需要在特定应用环境中使用软证书签名的客户，建议在新规生效前，提前申请三年期OV代码签名证书（软证书）。新规生效前签发的证书，在证书有效期内仍可正常使用，直至证书到期。关于OV代码签名证书的更多信息，访问沃通CA官网咨询。