CASC发布首个代码签名证书安全标准
发布日期:2017-02-13代码签名证书由CA机构验证开发者身份后颁发,用于对软件代码进行数字签名,通过数字签名验证开发者身份真实性、保护代码的完整性。每个Windows计算机、移动设备甚至大多数新的物联网设备,都依靠代码签名来验证哪些软件是受信任的。如果代码或可执行文件未使用证书签名,将不能在Windows和大多数浏览器中运行,因为运行之前首先需要验证开发者身份。
为了提升代码签名的安全性,保护用户和企业免受恶意攻击,证书颁发机构理事会(CASC)发布首个关于代码签名的安全标准,要求CA签发的代码签名证书必须符合该标准。微软首个接受并实施该标准,并要求CA机构在2017年2月1日起遵守该标准签发代码签名证书。CASC阐述了三个关键指南,帮助企业保护其IT系统和信息存储免受网络攻击,其中包括:
·对私钥更强的保护:最佳实践将是使用FIPS 140-2 HSM或等同物。研究表明,代码签名攻击在发布到坏发布者和发布给不知不觉中允许他们的密钥被泄露的好发布者之间平均分配。这使攻击者能够签署恶意软件,宣称它是由合法公司发布的。因此,公司必须将密钥存储在内部硬件上的硬件中,或者存储在新的安全的基于云的代码签名云服务中。
·证书吊销:最有可能的是,如果恶意软件研究人员或Microsoft等应用软件供应商发现其软件用户可能安装可疑代码或恶意软件,则会要求撤销。CA在收到请求后,必须在两天内撤消证书,或者提醒请求者它已启动调查。
·改进的代码签名时间戳:CA现在必须提供时间戳凭证(TSA),并为该TSA和时间戳证书指定详细要求。鼓励应用软件供应商允许代码签名在时间戳证书的有效期内保持有效。该标准允许时间戳证书的有效期达到135个月。
沃通已经遵守CASC标准完成对所有代码签名证书的安全升级,2月1日起所有新签发的代码签名证书都用系统生成PKCS12格式证书,并由用户自己设置16位以上包含大小写字母、数字和字符的保护密码;2月8日起所有代码签名证书(包含新签发、重新颁发及续费的证书)都必须采用 USB Key硬件存储保护证书私钥。产品安全升级后,证书价格仍保持不变,用户无需额外支付USB key硬件费用和邮寄费用,同样的价格享受更安全的产品,欢迎新老客户申请使用!
保护代码签名不仅意味着要将密钥存储在安全的地方,还需要用户安全保护密钥存储设备,并正确合法地使用代码签名证书,防止证书被盗用,不使用证书签署可疑代码,共同营造安全可信的软件应用环境。
消息来源:CASC沃通翻译整理,转载请注明出处http://www.wosign.com/News/CASC.htm