Requis Minimum Pour les Signatures de Code
29 juil. 2022
Requis Minimum Pour les Signatures de Code
Conseil de sécurité des autorités certifiantes : configuration minimale pour l’émission et la gestion des certificats Signature de Code
Les requis minimum du Conseil de sécurité des autorités certifiantes (CASC) pour la gestion et l‘émission des certificats Signature de Code sont requis pour toutes les autorités de certification (AC) afin d’avoir leur certificats Signature de Code dans les listes de confiance de Windows.
Seul les Certificats Signature de Code EV seront émits avec des tokens USB (Mise à jour 9 décembre 2019)
requis minimum spécifient que les CAs doivent assurer une protection plus forte pour les clés privées. Tout les certificats Signature de Code EV devront avoir un token USB. Toute nouvelle commande ou renouvellement de Signature de Code EV devront avoir un token USB pour emmagasiner le certificat et protéger la clé privée. De plus, tous les produits Signature de Code Standard – excepté Signature de Code EV – seront intégrés dans un certificat Signature de Code "multi-plateformes".
Signature de Code Standard ne devra plus être accompagné d’un token, vous aurez maintenant une option pour générer and installer votre certificat Signature de Code dans l’une des places suivantes:
- Plateforme Modulaire de Confiance (TPM)
- Matériel Crypto Modulaire
- Autre Matériels avec Logiciel token (carte SD/ Token USB)
Mention du pays et/ou de la localité dans le subjectDN
Les nouvelles directives imposent une vérification stricte de l’identité et des processus de vérification y afférant. GlobalSIgn a donc incorporé la mention du pays et/ou de la localité dans le subjectDN.
Nouvelles régulations concernant l’horodatage
Les nouvelles régulations imposent par ailleurs de nouvelles mesures au sujet de l’horodatage. les URLs pour l’horodatage de Signature de Code dédiés de GlobalSign sont listés ci-dessous:
| Algorithme de hachage | Nouvelle adresse URL du timestamping (horodatage) |
|---|---|
| SHA-2 | http://timestamp.globalsign.com/tsa/r6advanced1 |
Signalement des erreurs et révocation
Enfin, les procédures de signalement des certificats comportant des erreurs et de révocation des certificats ont été modifiées. Les certificats comportant des erreurs sont en général ceux dont la clé privée est compromise, ou utilisés pour signer des codes suspects etc.
Les révocations sont donc à présent demandées par Microsoft ou un malware des lors qu’un code suspect est identifié, ou dès lors que des codes suspects sont installés. Dans ce cas, Microsoft envoie une demande de révocation, et ce dernier sera révoqué dans les deux jours, sauf si GlobalSign démarre une enquête plus approfondie. Les certificats posant problème peuvent être signalés directement sur notre site via ce lien: www.globalsign.com/en/report-abuse.
Pour plus d’information, vous pouvez vous référer à l’article What Do The New Code Signing Certificate Requirements Mean For Developers.
Pour en savoir plus, vous pouvez vous référer à la FAQ Code Signing.
Références
1. Minimum Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates
2. Microsoft Trusted Root Program Requirements
Related Articles
Configuration Test SSL
Vérifiez l’installation de votre certificat pour les problèmes et les vulnérabilités SSL.