Beschreibung
Ab dem 1. Juni 2023 um 00:00 UTC müssen alle privaten Schlüssel für Standard Code Signing Zertifikate auf Hardware gespeichert werden, die nach FIPS 140 Level 2, Common Criteria EAL 4+ oder gleichwertig zertifiziert ist. Diese Änderung stärkt den Schutz privater Schlüssel für Code Signing-Zertifikate und gleicht ihn an die Sicherheitsstandards für EV (Extended Validation) Code Signing-Zertifikate an.
Neue Anforderungen für Standard Code Signing
Die neuen Anforderungen an die sichere Speicherung des privaten Schlüssels betreffen alle Standard Code Signing-Zertifikate, die ab dem 1. Juni 2023 ausgestellt werden. Dies kann ggf. bei den folgenden Prozessen eine Anpassung erfordern:
* Signieren von Code
* Bestellung und Erneuerung von Zertifikaten
* Neuausstellung von Zertifikaten
Diese neue Anforderung bedeutet auch, dass Zertifizierungsstellen (CAs) keine browserbasierte Schlüsselgenerierung und Zertifikatsinstallation mehr unterstützen. Weiters wird auch die Konfiguration durch die Erstellung eines CSR (Certificate Signing Request) nicht mehr möglich sein. Darüber hinaus ist es nicht mehr möglich, das Zertifikat inkl. Schlüssel als Datei (PFX/PKCS12) zu exportieren.
Neuausstellung von Zertifikaten nach dem 1. Juni 2023
Wenn Sie Code Signing-Zertifikate neu ausstellen, müssen Sie das Zertifikat auf einem unterstützten Hardware-Token oder HSM installieren. Falls Sie keinen Token besitzen, muss ein Hardware-Token bei der Vergabestelle gekauft werden.
Alternative zu Hardware-Token
SSLPOINT arbeitet mit Certum, der führenden Zertifizierungsstelle in Europa, zusammen, um Ihnen als Alternative die Produktlinie “Code Signing in the Cloud” anzubieten. Bei dieser softwarebasierten Lösung wird der private Schlüssel in einem virtuellen Tresor gespeichert und erfüllt somit die hohen Anforderungen des Industriestandards. Es ist kein zusätzlicher Hardware-Token erforderlich.
Sie können Certum “Code Signing in the Cloud”-Zertifikate hier bestellen: Code Signing Zertifikate
Update
Die neuen Anforderungen gelten nun erst ab 1. Juni 2023. Das ursprüngliche Datum (15. November 2022) wurde geändert, um den Teilnehmern mehr Zeit für diese signifikante Änderung zu geben.
CAB Ballot CSC-13: Update to Subscriber Key Protection Requirements
CAB Ballot CSC-17: Subscriber Private Key Extension