28 апр. 2025 г.

Новые требования к защите закрытого ключа для сертификатов CodeSigning

Справочная информация 

Форум сертификационных центров/браузеров (CA/B) представил обновления базовых требований (BRs) для выпуска сертификатов CodeSigning. С 1 июня 2023 года закрытый ключ должен генерироваться и защищаться в устройствах, соответствующих стандартам FIPS 140-2 Level 2 или Common Criteria EAL 4+, как для стандартных, так и для EV сертификатов CodeSigning. Это означает, что для пользователей сертификатов Standard CodeSigning пара ключей должна генерироваться и храниться в аппаратном криптомодуле, который соответствует или превосходит требования FIPS 140-2 уровня 2 или Common Criteria EAL 4+. Кроме того, обновления предусматривают конкретные способы, с помощью которых ЦС должен обеспечить генерацию и защиту закрытого ключа на совместимом устройстве. 

Цель этих обновлений - повысить защиту закрытых ключей, связанных с сертификатами CodeSigning, и снизить риски подписания этих ключей вредоносным ПО. 

Изменения или последствия 

Чтобы соответствовать требованиям, подписчик должен выполнить следующие условия для выпуска сертификатов CodeSigning от GlobalSign с 23 апреля 2023 года: 

1. Для стандартного сертификата кодовой подписи потребуется совместимый аппаратный токен, или HSM. 

2. В случае выпуска сертификата на HSM потребуется письмо о внутреннем или внешнем аудите, подтверждающее, что подписчик будет использовать совместимые HSM для сертификатов CodeSigning. 

3. Для выпуска любого сертификата CodeSigning (Standard или EV) на токене вам необходимо выбрать одну из следующих двух опций во время заказа: 

   1. Установить с помощью Fortify: Если выбран этот способ, вам нужно будет установить приложение Fortify с сайта https://fortifyapp.com/ и следовать инструкциям, приведенным на сайте поддержки GlobalSign здесь. 

   2. Установка с использованием режима совместимости IE: Вам нужно будет запустить режим совместимости IE в Edge, а затем установить сертификат. Инструкции по этому вопросу можно найти в нашем центре поддержки. 

Если вы являетесь пользователем стандартного сертификата CodeSigning от GlobalSign и пытаетесь перевыпустить сертификат после 24 апреля 2023 года, GlobalSign отправит вам соответствующий токен (в случае, если он не был предоставлен ранее). 

Часто задаваемые вопросы 

1. Можно ли будет загрузить стандартный сертификат CodeSigning в формате .PFX? 
   
   Начиная с 24 апреля 2023 года, вам необходимо будет установить сертификат непосредственно в устройство, соответствующее стандартам FIPS 140-2 уровня 2 или Common Criteria EAL 4+.  Вы не сможете загрузить сертификат в формате .PFX. 

2. У меня есть существующий сертификат Standard CodeSigning. Смогу ли я повторно выпустить существующий сертификат без токена? 
   
   С 24 апреля 2023 года вы сможете перевыпустить сертификат только на устройстве, соответствующем требованиям FIPS 140-2 уровня 2 или Common Criteria EAL 4+. Мы отправим вам токен во время запроса на перевыпуск. Вы сможете перевыпустить существующий сертификат без токена до 24 апреля 2023 года. 

3. В случае перевыпуска сертификата на HSM необходимо предоставить письмо о внутреннем или внешнем аудите, подтверждающее, что абонент будет использовать совместимые HSM для подписания сертификатов. При необходимости отдел проверки свяжется с вами. 

Если у вас возникли вопросы, пожалуйста, обращайтесь к сотрудникам службы поддержки GlobalSign.