FairSSL - Vi gør SSL NEMT

CodeSign OV Fysisk säkerhetsfrist 1. Juni 2023 (23. April 2023)

28 October 2022
image of ai engineers working (for a ai healthcare company)

Senast uppdaterad: 9 mars 2023

CodeSign-certifikat kräver fysisk säkerhet från 1 juni 2023

GlobalSign och Sectigo har rapporterat att sista chansen för utfärdande utan fysisk nyckelsäkerhet är 23 april 2023.
Tidsfristen för övergång till fysisk säkerhet har tidigare flyttats från november 15, 2022 till 1 juni 2023.

Bakgrund till förändringen

CodeDesign-certifikat utfärdas med två valideringsnivåer:

  • Organisationsvalidering (OV)
  • Utökad validering (EV)

EV-certifikat har:

  • Högre krav på affärsvalidering
  • Ökat förtroende för Microsoft SmartScreen nedladdningsfilter
  • Krav på fysisk säkerhet för den privata nyckeln via:
    • USB-kryptonyckel
    • Nätverk-HSM
    • FIPS 140-2 nivå 2 eller gemensamma kriterier EAL 4+ standard

Förbisedd detalj av OV-certifikat

Även om OV-certifikat inte har samma krav som elbilar, måste nyckeln ändå säkras — men ansvaret ligger hos användaren.
Många ignorerar detta, och OV-certifikat används ofta utan nyckelsäkerhet, vilket gör dem sårbara för kopiering och stöld.

Microsofts förslag och tidslinje

  • 5 maj 2022: Microsoft föreslår att fysisk nyckelsäkerhet också ska gälla för OV-certifikat
  • 15 november 2022: Ursprunglig tidsfrist
  • 27 september 2022: Microsoft föreslår att skjuta upp 1 juni 2023med motiveringen att det bör finnas minst ett års uppsägningstid
  • Förslaget antas

Konsekvenser för användare

Från 1 juni 2023 Det kommer inte längre att vara möjligt att utfärda OV CodeDesign-certifikat utan fysisk nyckelsäkring.

Detta innebär bland annat:

  • Vid förnyelse måste man vänta på leverans av USB Crypto Dongle (t.ex. Thales SafeNet 5110 cc)
  • Risk för brist på kryptoenheter
  • De flesta enheter stöder endast 2048-bitars RSA, medan 3072-bitars RSA nu krävs
  • Automatiska signeringsprocesser (CI/CD-rörledningar) kan brytas
  • Krav för molnbaserade lösningar som Azure KeyVault (Premium) eller AWS KMS

Vad händer med befintliga certifikat?

  • OV-kodDesigncertifikat utfärdade före 1 juni 2023 kommer att fortsätta arbeta fram till utgången (upp till 3 år)
  • De kan dö inte återutgiven utan fysisk nyckellåsning

FairSSL Rekommenderar

  • Utfärda a 3-årscertifikat senast maj 2023 om du vill undvika fysisk nyckelsäkring
  • Kontakta oss om du har ett aktivt certifikat med lång giltighet — vi kan hjälpa dig
  • Använd TPM-chip eller molnlösningar för nyckelsäkerhet, oavsett krav
  • Förnya tidigt - USB-kryptoenheter kommer att inkluderas i priset från 1 juni 2023, vilket kan påverka priset

CA-specifika tidsfrister

  • Globaltecken:
    Sista dag för utfärdande utan fysisk säkerhet: 23 april 2023
    Från 24 april 2023 USB-kryptodongel eller certifierad HSM krävs
  • DigiCert:
    Tar bort möjligheten att utfärda utan fysisk säkerhet: 16 maj 2023
    Certifikat måste utfärdas senast 30 maj 2023
  • Sektion:
    Rekommendera att beställa med USB-krypto-enhet från 15 maj 2023
    Utfärdade certifikat efter 30 maj 2023 Utan fysisk säkerhet kommer revocado och måste återges

Del på sociale medier