OV代码签名证书从11月15日起将发生这些变化
2022年7月12日
代码签名是您或您的组织为您的代码、软件或其他可执行文件声明组织的数字身份的一种方式,OV代码签名证书是其中的一种类型。根据CA/B论坛投票决定,OV代码签名证书从11月15日起将发生这些变化。
从11月15日开始,新的和重新颁发的公众信任组织验证 (OV) 和个人验证 (IV)代码签名证书将必须由颁发证书颁发机构 (CA) 颁发或存储在预配置的安全硬件上。特别是,这包括符合 FIPS 140-2 2 级、通用标准 EAL 4+(或同等标准)的设备或签名解决方案(至少),例如:
1)硬件安全模块 (HSM),云或物理设备
2)物理安全令牌,例如 USB 硬件设备
3)密钥存储和签名服务
这项全行业的强制要求将影响在11月推出时或之后购买新OV代码签名证书的任何人。这也可能影响当前的OV代码签名证书持有者,他们也重新颁发或更新其现有证书。
如果您在正式更改之前拥有现有的有效代码签名证书,则此更改不会以同样的方式影响您。当然,CA将不得不建议您以相同的方法之一存储您的密钥。但是您仍然可以像往常一样继续签署您的软件和其他可执行文件。
11月之前的现有证书持有者必须向他们的CA确认他们将使用安全方法(可信平台模块、硬件加密模块或硬件安全令牌)来生成和保护他们的密钥。在 11 月推出之后,证书持有者必须确认他们将使用以下方法之一来安全地存储他们的密钥:
1)HSM 或硬件安全令牌
2)基于云的密钥生成和保护解决方案
3)满足CA/B论坛的基线要求第16.2节中概述的要求的签名服务