FairSSL - Vi gør SSL NEMT

CodeSign OV deadline for fysisk sikring 1. Juni 2023 (23. April 2023)

28 October 2022
image of ai engineers working (for a ai healthcare company)

Senest opdateret: 9. marts 2023

CodeSign-certifikater kræver fysisk sikring fra 1. juni 2023

GlobalSign og Sectigo har meldt ud, at sidste chance for udstedelse uden fysisk nøglesikring er 23. april 2023.
Deadline for skift til fysisk sikring er tidligere blevet flyttet fra 15. november 2022 til 1. juni 2023.

Baggrund for ændringen

CodeSign-certifikater udstedes med to valideringsniveauer:

  • Organisation Validation (OV)
  • Extended Validation (EV)

EV-certifikater har:

  • Højere krav til virksomhedsvalidering
  • Øget tillid i Microsoft SmartScreen downloadfilter
  • Krav om fysisk sikring af privatnøglen via:
    • USB Crypto Nøgle
    • Netværks-HSM
    • FIPS 140-2 Level 2 eller Common Criteria EAL 4+ standard

Overset detalje ved OV-certifikater

Selvom OV-certifikater ikke har samme krav som EV, skal nøglen stadig sikres – men ansvaret ligger hos brugeren.
Mange ignorerer dette, og OV-certifikater bruges ofte uden nøglesikring, hvilket gør dem sårbare for kopiering og tyveri.

Microsofts forslag og tidslinje

  • 5. maj 2022: Microsoft fremsætter forslag om at fysisk nøglesikring også skal gælde for OV-certifikater
  • 15. november 2022: Oprindelig deadline
  • 27. september 2022: Microsoft foreslår at udskyde til 1. juni 2023, med begrundelsen at der bør være mindst ét års varsel
  • Forslaget vedtages

Konsekvenser for brugere

Fra 1. juni 2023 vil det ikke længere være muligt at udstede OV CodeSign-certifikater uden fysisk nøglesikring.

Det betyder bl.a.:

  • Ved fornyelse skal man vente på levering af USB Crypto Dongle (f.eks. Thales SafeNet 5110 cc)
  • Risiko for mangel på crypto-enheder
  • De fleste enheder understøtter kun 2048-bit RSA, mens 3072-bit RSA nu kræves
  • Automatiske signeringsprocesser (CI/CD pipelines) kan bryde
  • Krav om cloud-baserede løsninger som Azure KeyVault (Premium) eller AWS KMS

Hvad sker der med eksisterende certifikater?

  • OV CodeSign-certifikater udstedt inden 1. juni 2023 vil fortsat virke indtil udløb (op til 3 år)
  • De kan dog ikke genudstedes uden fysisk nøglesikring

FairSSL anbefaler

  • Udsted et 3-årigt certifikat senest i maj 2023 hvis du vil undgå fysisk nøglesikring
  • Kontakt os hvis du har et aktivt certifikat med lang gyldighed – vi kan hjælpe
  • Brug TPM-chip eller cloud-løsninger til nøglesikring, uanset krav
  • Forny tidligt – USB crypto-enheder vil være inkluderet i prisen fra 1. juni 2023, hvilket kan påvirke prisen

CA-specifikke deadlines

  • GlobalSign:
    Sidste dag for udstedelse uden fysisk sikring: 23. april 2023
    Fra 24. april 2023 kræves USB crypto dongle eller certificeret HSM
  • DigiCert:
    Fjerner muligheden for udstedelse uden fysisk sikring: 16. maj 2023
    Certifikater skal være udstedt senest 30. maj 2023
  • Sectigo:
    Anbefaler bestilling med USB crypto enhed fra 15. maj 2023
    Certifikater udstedt efter 30. maj 2023 uden fysisk sikring vil blive revoked og skal genudstedes

Del på sociale medier