Istotne zmiany w ofercie certyfikatów Code Signing

Z dniem 1 czerwca 2023 roku certyfikaty Code Signing OV będą miały zwiększone wymagania bezpieczeństwa.

Obecnie tylko certyfikaty Code Signing EV wymagają zabezpieczenia sprzętowego w postaci fizycznego tokena, ale zmieni się to w połowie roku.

CA Browser (CA/B) Forum przegłosowało, że certyfikaty podpisywania kodu OV będą miały takie same wymagania jak certyfikaty EV. W szczególności konieczne będzie posiadanie klucza prywatnego na jednym z trzech urządzeń:

• tokenie sprzętowym (spełniającym wymogi standardu FIPS 140-2 poziomu 2 lub wyższego),
• lub sprzętowego modułu bezpieczeństwa (HSM),
• lub usługi podpisywania w chmurze HSM.

Certification Authority Browser Forum, znane również jako CA/Browser Forum, jest konsorcjum urzędów certyfikacji, sprzedawców przeglądarek internetowych i oprogramowania do poczty elektronicznej, systemów operacyjnych i innych aplikacji obsługujących PKI (z ang. Infrastruktura klucza publicznego). Forum ogłasza wytyczne branżowe regulujące wydawanie i zarządzanie certyfikatami cyfrowymi X.509 v.3, które są mechanizmami odpowiadającymi za bezpieczeństwo wymienionych aplikacji. Wytyczne obejmują certyfikaty stosowane w protokole SSL/TLS i certyfikatach Code Signing, a także bezpieczeństwo systemu i sieci urzędów certyfikacji.

Jesteś ciekaw, co dokładnie się zmieni w ofercie certyfikatów Code Signing i jakie korzyści Ci to przyniesie? Czy zwiększone zmiany bezpieczeństwa będą Cię dodatkowo kosztować? I czy nadal możesz zamówić certyfikaty na obecnych zasadach? Odpowiedzi przedstawiliśmy w dalszej części artykułu. 

Czym są certyfikaty Code Signing? 

Certyfikat Code Signing służy do cyfrowego podpisu aplikacji różnego rodzaju, wliczając 32-bit i 64-bit aplikacje .cab, .exe, .dll, .csx. Zapewnia, że jakikolwiek kod czy aplikacja, które chcesz rozpowszechniać w Internecie, są wydane przez zweryfikowanego wydawcę i nie zostały zmodyfikowane przez nieuprawnione osoby. Certyfikat Code Signing daje Twoim odbiorcom poczucie zaufania i świadomość, że oprogramowanie pochodzi rzeczywiście od Ciebie i jest dla nich bezpieczne.

Code Signing maksymalnie zwiększa zaufanie, gdyż użytkownicy pobierający Twoje oprogramowanie widzą dane jego wydawcy. Jest to możliwe dzięki procesowi weryfikacji, jaki przechodzisz po zamówieniu certyfikatu Code Signing. 

Proces OV trwa zazwyczaj 1-10 dni, w trakcie których CA sprawdza dane rejestracyjne firmy, jej adres oraz zweryfikowany numer telefonu. Dla osób fizycznych, które starają się o wydanie certyfikatu, wymagane będzie przedstawienie dokumentów tożsamości oraz również weryfikacja telefoniczna.

Dla certyfikatów EV CA przeprowadza najszerszą weryfikację przed wydaniem certyfikatu. Szczegółowo są sprawdzane dane firmy, jej fizyczny adres oraz rzeczywiście prowadzona działalność. Procedura może potrwać od 1 do 4 tygodni.

Jaki jest cel zmian w ofercie certyfikatów Code Signing? 

Aktualizacja poprawi bezpieczeństwo poprzez usprawnienie zarządzania tożsamością i dostępem do certyfikatów, jednocześnie zmniejszając ryzyko wykorzystania skradzionych kluczy Code Signing do podpisywania i dystrybucji złośliwego oprogramowania. Dlatego szczególnie ważne jest, abyś przygotował się jak najszybciej do wymaganych zmian dla certyfikatów Code Signing OV.

Aby spełnić nowe wymagania, CA będą (w większości przypadków) wysyłać token sprzętowy do klienta w ramach złożonego zamówienia na certyfikat Code Signing.

Rozwiązania na przyszłość?

Z dniem 1 czerwca 2023 roku klucze prywatne certyfikatów Code Signing OV będą musiały być generowane, przechowywane i używane w jeden z następujących sposobów:

• Token sprzętowy — tokeny bezpieczeństwa sprzętowego to zazwyczaj małe i wygodne urządzenia, które są przypisane do poszczególnych użytkowników w organizacji. Token musi spełniać co najmniej wymagania normy FIPS 140-2 na poziomie 2. 

Możesz zakupić takie tokeny samodzielnie lub skorzystać z tokena z preinstalowanym certyfikatem dostarczonego przy zakupie certyfikatu. Większość klientów uważa, że używanie tokena USB dostarczonego przez CA (Certification Authority — Organ wydający certyfikat) jest najłatwiejszą i najprostszą opcją przechowywania klucza prywatnego. 

Ograniczeniem tego rozwiązania jest przypisywanie tokena do konkretnej osoby, przez to może korzystać z niego tylko jedno urządzenie na raz. 

• HSM — Jeśli posiadasz HSM (sprzętowy moduł bezpieczeństwa lub procesor kryptograficzny) lub planujesz zainwestować w niego w celu przechowywania kluczy prywatnych, będziesz musiał uzyskać dowód potwierdzający, że urządzenie jest zgodne z normą FIPS 140 Poziom 2 lub Common Criteria EAL4+ (CCE 4+), a także obsługuje klucze ECC o rozmiarze 256 bitów lub większym albo RSA 3072 bity, lub większym.

• Usługi do podpisywania w chmurze HSM — Usługi sprzętowych modułów bezpieczeństwa, takie jak np. DigiCert® Software Trust Manager, oferują oparte na chmurze rozwiązanie umożliwiające autoryzowanym użytkownikom bezpieczne przechowywanie i używanie kluczy prywatnych bez konieczności fizycznego dostępu do nich. Oznacza to, że Twoja firma może działać bez konieczności martwienia się o zarządzanie grupą indywidualnych fizycznych tokenów bezpieczeństwa, które mogą zostać uszkodzone, zgubione czy skradzione.

Co powinieneś zrobić, aby przygotować się do nadchodzących zmian w Code Signing?

1. Przeanalizuj, w jaki sposób zarządzone przez CA zmiany mogą wpłynąć na Twoją firmę.

Pełen raport z wytycznymi opublikowany przez CA/B Forum znajduje się pod tym adresem. Znajdziesz w nim m.in. informacje dotyczące, jakich danych będzie wymagać od Ciebie CA w procesie walidacji OV i EV, oraz szczegółowe informacje o wymaganych parametrach fizycznego tokena.

Podczas gdy CA/B Forum określa wytyczne, każdy CA działa inaczej w zakresie sposobu i czasu aktualizacji swoich procesów.

2. Jak najszybciej zakończyć procedurę wydania wcześniej zakupionych certyfikatów Code Signing OV.

Aby nie potrzebować tokena do zakupionego wcześniej certyfikatu Code Signing OV, upewnij się, że zostanie on wydany do 14 kwietnia dla Sectigo i do 24 maja dla DigiCert. Uwaga, przedstawione daty mogą ulec zmianie.

3. Zapoznaj się z Usługami do podpisywania w chmurze HSM.

Umieszczamy linki do aplikacji dwóch najpopularniejszych CA:

• DigiCert® Software Trust Manager (STM): https://www.digicert.com/software-trust-manager
• Sectigo Certificate Manager: https://sectigo.com/resource-library/sectigo-certificate-manager

Skorzystanie z jednej z usług do podpisywania w chmurze HSM, będących aplikacjami oferowanymi przez CA jest alternatywnym rozwiązaniem do fizycznych tokenów sprzętowych. 

Jak zawsze, w przypadku jakichkolwiek pytań związanych ze zmianami w certyfikatach Code Signing zapraszamy do kontaktu z naszym zespołem.

Terminy wdrażanych zmian

Podczas gdy wszystkie CA przestrzegają wytycznych CA/B Forums, każdy CA ma swój własny sposób na wdrożenie aktualizacji. W zależności od tego, czy pracujesz z rozwiązaniami do podpisywania kodu Sectigo, czy DigiCert, zaplanuj odpowiednio procedurę zamówienia nowego certyfikatu Code Signing:

“CAs SHALL ensure that the Subscriber’s Private Key is generated, stored, and used in a suitable Hardware Crypto Module that meets or exceeds the requirements” – CA/B Forum

Wiedz, że daty mogą ulec zmianie. Podajemy aktualne (na dzień 31.03.2023) terminy wdrażanych zmian.

Dla certyfikatów od Sectigo:

• 14 kwietnia — to ostatni dzień na złożenie zamówienia na certyfikat Code Signing Sectigo OV bez tokena sprzętowego lub HSM.
• 24 kwietnia: Wszystkie certyfikaty Code Signing Sectigo OV wydane po 24 kwietnia będą wymagały dostarczenia sprzętowego tokena lub HSM.

Dla certyfikatów od DigiCert:

• 24 maja — to ostatni dzień na złożenie zamówienia na certyfikat Code Signing DigiCert OV bez tokena sprzętowego, HSM lub usługi HSM. Data ta nie zapewnia możliwości dostarczenia certyfikatu.
• 1 czerwca: Wszystkie certyfikaty Code Signing DigiCert OV wydane po 1 czerwca będą wymagały dostarczenia tokena sprzętowego, HSM lub usługi HSM.

Czy ceny certyfikatów Code Signing ulegną zmianie?

Wydawane dotychczas certyfikaty Code Signing OV były udostępnianie w formie elektronicznej i nie wymagały posiadania fizycznego tokena.

Przygotowanie i wydanie fizycznego tokena jest związane z dużymi kosztami. Te dwa czynniki są znaczącą składową, mającą wpływ na końcową cenę certyfikatów Code Signing EV. Z końcem pierwszego kwartału 2023 roku certyfikaty EV są  średnio od 3 do 4 razy droższe od wersji OV.

W związku z nadchodzącą zmianą sposobu wydawania certyfikatów OV ich cena ulegnie podwyższeniu. Na dzień 31.03.2023 nie znamy dokładnych nowych cen, ale spodziewamy się, że Sectigo Code Signing OV będzie kosztować co najmniej 1999 zł netto / rok (przy dotychczasowej cenie wynoszącej 699 zł netto / rok).

Podobnej podwyżce ulegnie certyfikat DigiCert Code Signing OV, który aktualnie kosztuje 1699 zł netto / rok.

W związku z wprowadzeniem nowego typu tokenu podwyżce ulegną także certyfikaty Code Signing typu EV: Sectigo (Comodo) Code Signing EV i DigiCert Code Signing EV. Gdy tylko uzyskamy dokładne informacje od wystawców, to będziemy Cię informować w tym artykule.

Czy zmiany dotyczą również certyfikatów Thawte Code Signing?

W udostępnionych nam informacjach nie została wymieniona marka Thawte. Należy jednak ona do DigiCert’u, przez co możemy spodziewać się, że zmiany obejmą również certyfikat  Thawte Code Signing. W przypadku otrzymania dodatkowych informacji na pewno Cię o tym powiadomimy. 

Czy nadal możesz zamówić certyfikaty OV według starych zasad?

Zgodnie z terminami podanymi powyższej nadal obowiązują stare ceny i warunki wydawania certyfikatów.

Zachęcamy Cię więc do składania zamówień według aktualnych cen na:

• certyfikaty Code Signing Sectigo do dnia 13 kwietnia, 
• certyfikaty Code Signing DigiCert do dnia 23 maja.

Realizowane będą jedynie opłacone zamówienia, a nie sam fakt złożenia zamówienia w naszym serwisie. 

Pamiętaj, że certyfikaty Code Signing mogą zostać zamówione i wydane na okres do 3 lat(!). Aby uniknąć konieczności uzyskania fizycznego tokena (i aby skorzystać ze znacznie niższej ceny) polecamy wykupienie certyfikatu na najdłuższy możliwy okres.

Marcin Marczyk

Od kilku lat jestem odpowiedzialny za interakcję z klientami oraz odpowiadam na ich pytania, wątpliwości i problemy związane z usługami hostingowymi i domenowymi oferowanymi przez MSERWIS.pl i Domeny.tv.

Mam wysokie umiejętności komunikacyjne, zarówno werbalne, jak i pisemne, oraz potrafię skutecznie zrozumieć potrzeby klienta. Znajduję kreatywne rozwiązania problemów technicznych, udzielam pomocy w zarządzaniu kontem, a przy tym wykazuję dużą dbałość o szczegóły i zdolność do wielozadaniowości.

• Marcin Marczyk

  https://www.mserwis.pl/blog/author/marcin-marczyk/

  Wprowadzamy wymóg logowania do usług pocztowych przy użyciu protokołu SSL