5 de dez. de 2021

Requisitos mínimos para assinatura de código

 

Requisitos mínimos do Conselho de Segurança da Autoridade Certificadora para a Emissão e Gestão de Certificados de Assinatura de Código

Os Requisitos Mínimos do Conselho de Segurança da Autoridade de Certificação (CASC) para a Emissão e Gerenciamento de Certificados de Assinatura de Código são exigidos por todas as Autoridades de Certificação (CAs) para que seus Certificados de Assinatura de Código sejam confiáveis ​​nas plataformas Windows.

Apenas certificados de assinatura de código EV serão emitidos com tokens USB (atualizado em 9 de dezembro de 2019)

Os Requisitos Mínimos especificam que as CAs devem garantir uma proteção mais forte para as chaves privadas. Todos os certificados de assinatura de código EV exigirão um token USB. Todos os pedidos de assinatura de código EV novos e de renovação exigirão um token USB para armazenar o certificado e proteger a chave privada. Além disso, todos os produtos de assinatura de código padrão - exceto para assinatura de código EV - serão integrados a um certificado de assinatura de código “multiplataforma”.

O CodeSigning padrão não precisará mais ser fornecido em um token, pois agora você terá a opção de gerar e instalar seu certificado CodeSigning em um dos seguintes:

1. Módulo de plataforma confiável (TPM)
2. Módulo de criptografia de hardware
3. Outro token de software de hardware (cartão SD / token USB)

Inclusão de Estado e / ou Localidade no assunto ND

Os Requisitos Mínimos especificam práticas padronizadas e rígidas de verificação de identidade. A GlobalSign exige que os certificados de assinatura de código contenham Estado e / ou Localidade no subjectDN.

Novos requisitos de carimbo de data / hora (Timestamp)

Os Requisitos Mínimos especificam os requisitos de carimbo de data / hora (Timestamp). Os URLs de carimbo de data / hora (Timestamp) de assinatura de código da GlobalSign para essa finalidade estão listados abaixo:

Hash Algoritmo	Novo URL de carimbo de data/hora
SHA-2	http://timestamp.globalsign.com/tsa/r6advanced1

Relatório de certificado de problema e revogação

Os Requisitos Mínimos especificam requisitos padronizados para relatórios e revogação de certificados de problemas. "Certificados de problema" são certificados suspeitos de comprometimento de chave privada, usados ​​para assinar código suspeito ou malicioso, etc.

Muito provavelmente, uma revogação será solicitada por um pesquisador de malware ou um fornecedor de software aplicativo, como a Microsoft, onde os usuários de seu software podem estar instalando código suspeito ou malware. Nesse caso, se a Microsoft solicitar à GlobalSign a revogação do Certificado, em dois dias o Certificado deverá ser revogado ou a Microsoft deverá ser informada de que a GlobalSign iniciou uma investigação. Os certificados de problemas podem ser relatados diretamente em nosso site: https://www.globalsign.com/en/report-abuse/

Para obter mais informações, consulte nossa postagem no blog O que significam para os desenvolvedores os requisitos do novo certificado de assinatura de código.

Se quiser saber mais sobre nossos certificados de assinatura de código, leia nosso artigo de suporte de perguntas frequentes sobre assinatura de código.

Referências

1. Requisitos mínimos para a emissão e gestão de certificados de assinatura de código de confiança pública

2. Requisitos do programa Microsoft Trusted Root