OV Kod İmzalama Anahtarı Depolama Gereksinimi Değişiklikleri 2023'e Ertelendi

Sektör liderleri, kuruluş doğrulama (OV) kod imzalama sertifikaları için yeni güvenli anahtar depolama gereksinimlerinin kullanıma sunulmasını 1 Haziran 2023'e kadar ertelemeye karar verdi.

Temmuz ayında, standart kod imzalama sertifikalarının özel anahtarlarının onaylanmış donanım güvenlik cihazlarında saklanmasını gerektirecek değişikliklerin hızla yaklaştığını açıklayan bir blog yazısı yayınlamıştık . Bu sunumun 15 Kasım'dan itibaren (Kuzey ve Güney Amerikalı kullanıcılar için 14 Kasım) yürürlüğe girmesi gerekiyordu. Ancak, hayatta çoğu zaman işler değiştikçe durum değişti (ve gelişmeye devam ediyor).

CA/B Forumu, sertifika yetkililerine ve sertifika kullanıcılarına sistemlerini ve süreçlerini güncellemeleri için daha fazla zaman vererek , son tarihi 1 Haziran 2023'e ertelemeye karar verdi. Değişikliklerin neler olduğuna ve neden ertelendiğine kısaca bir göz atalım.

Hadi çözelim.

OV Kod İmzalama Sertifikası Anahtar Deposu için Önerilen Değişikliklerin Hızlı Bir Özeti

Bu konuyla ilgili tam bir makalemiz olduğundan, tüm bu süper konuları derinlemesine ele almayacağız. Ancak, ne zaman kullanıma sunulması gerektiğiyle ilgili değişikliklere geçmeden önce, CA/B Forum'un OV kod imzalama sertifikalarının verilmesi ve saklanmasıyla ilgili yeni endüstri gereksinimlerini en azından kısaca ele almanın iyi olacağını düşündük.

  • CA/B Forum'un yeni gereksinimleri, yeni/yeniden yayınlanan IV ve OV kod imzalama sertifikalarını etkiler. CA/B Forumunun Kod İmzalama Temel Gereksinimleri (CSBR) sürüm 3.1'de listelenen değişiklikler , bireysel doğrulama (IV) ve kuruluş doğrulama (OV) kod imzalama sertifikaları için ilgili özel anahtarların nasıl oluşturulacağını, depolanacağını, yükleneceğini, yenileneceğini ve yeniden yayınlanacağını belirtir .
  • Kod imzalama sertifikaları için sertifika imzalama istekleri (CSR), Dodo kuşunun yolundan gider (çoğu kullanıcı için). Her sertifika için bir sertifika imzalama isteği (CSR) formu oluşturup göndermeniz yerine, sertifika veren CA'nız genellikle sertifika ve anahtar oluşturma işlemlerini kendi uçlarında halleder. Bu, genişletilmiş doğrulama (EV) kod imzalama sertifikaları sürecine benzer .
  • Kullandığınız kriptografik modül(ler) (donanım) belirli güvenlik standartlarını karşılamalıdır. Sadece herhangi bir güvenli donanım işe yaramaz. Kod imzalama sertifikalarınızın hassas özel anahtarlarını depolamak için minimum olarak FIPS 140 Düzey 2/EAL 4+ uyumlu güvenli donanım şifreleme modülleri veya imzalama hizmetleri kullanmalısınız.

Tüm bunlar özel anahtarlarınızın güvenliğini artırmayı amaçlar. Ancak değişiklikler bu kadar olumluysa, neden onları erteliyoruz?

Bu Değişiklikler Neden 1 Haziran 2023'e Kadar Geri İtiliyor?

Bir CA/B Forumu genel posta listesi tartışmasında , Microsoft'un Baş Ürün Müdürü Ian McMillan, önerilen değişiklikler için son tarihin hem aboneler hem de CA'lar için "çok sıkı" olduğunu ve endişelerini dile getiren çok sayıda e-posta aldığını açıkladı. 15 Kasım 2022 zaman çizelgesi hakkında. Agresif bir son teslim tarihine sahip olmak harika olsa da, sorun, gereksinimlerin bu kadar kısa bir pencerede etkili bir şekilde uygulanmasının zor olmasıdır.

Kısmen McMillan, devam eden küresel tedarik zinciri zorlukları ve artan maliyetlerle ilgili endişeler olduğunu söyledi . Bu faktörler , özellikle Keyfactor'un kuruluşların ortalama 25 kod imzalama sertifikasına sahip olduğunu bildirdiğini , ancak yalnızca yarısının (%51) bunları donanım güvenlik modüllerinde (HSM'ler) sakladığını düşündüğünüzde , gerekli donanım güvenlik belirteçlerini toplu halde almayı zorlaştırır. .

Şaşırtıcı olmayan bir şekilde, birkaç CA'dan - DigiCert, Sectigo ve Entrust - temsilciler, değişikliğin ertelenmesinin hem CA'lar hem de sertifika kullanıcıları için iyi olacağına karar verdiler. Kod imzalama, yazılım geliştirme sürecinin ayrılmaz bir parçası olduğundan, sertifika kullanıcıları, desteklenmesi ve/veya güncellenmesi gereken çok çeşitli sistem ve süreçlere sahiptir. Bu onlara işlemlerini tamamlamaları ve ördeklerini arka arkaya almaları için zaman verir.

CA/B Forum'un CSCWG genel tartışma listesinde yayınlanan oy pusulası sonuçlarına hızlı bir bakış:

 

Anahtar Depolama Değişikliklerini Yapmak İçin Beklemem Gerekiyor mu?

Hayır. Değişiklikleri hemen uygulamaya başlamak isteyen proaktif, hevesli bir tipseniz, uygun şifreleme donanımına sahipseniz bunu kesinlikle yapabilirsiniz. Bu şekilde, yolun aşağısında bunu yapmak için beklemek ve endişelenmek zorunda kalmazsınız. Bunun gerçekleşmesi için hangi adımları atmanız gerektiğini öğrenmek için sertifika sağlayıcınızla iletişime geçin.

Gecikmeden yararlanmak isteyen çoğu şirket gibiyseniz, sorun değil. Ancak, planlanan 1 Haziran 2023 tarihi gelmeden önce değişiklikleri yapmak için kendinize yeterli zaman ayırdığınızdan emin olun.