CA/B 论坛强制要求自 2021 年 6 月 1 日起,使用至少 3072 位的密钥长度来颁发代码签名证书。这包括新申请代码签名证书、为 2021 年 6 月 1 日之前的老证书进行重颁发产生的新证书、以及为 2021 年 6 月 1 日之前的老证书续费。所有可信 CA 都需遵循这个原则,目前 DigiCert 和 GlobalSign 变更信息如下:
DigiCert
从 2021 年 5 月 27 日14:00 MDT(UTC 20:00 UTC)开始,DigiCert 将需要 3072 位 RSA 密钥或更大的密钥以用于代码签名证书。此更改是为了符合行业标准。这些新的 RSA 密钥大小要求适用于完整的证书链:终端实体,中间 CA 和根。但是,ECC 密钥要求保持不变。
5 月 27 日之前签发的代码签名证书无需更改,并且在证书到期之前一直有效。
5 月 27 日之后,新申请、重颁发、续费代码签名证书将自动更新为新的中间 CA 和根证书。
5月 27 日之后,所有代码签名证书都将要求具有 3072 位或更大 RSA 密钥的 CSR。EV 代码签名证书将需要新的令牌或支持至少 3072 位密钥的 HSM。
新的根证书和中级证书
根证书
DigiCert Trusted G4 (RSA default)
DigiCert Global Root G3 (ECC default)
中级证书
DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 (RSA default)
DigiCert Global G3 Code Signing ECC SHA384 2021 CA1 (ECC default)
GlobalSign
1、更新时间:2021 年 5 月 31 日
2、2021.5.31 之后,新颁发(新申请/续费/重颁发)的代码签名证书,RSA 算法的密钥强度要求4096位。
3、2021.5.31 之后,新颁发(新申请/续费/重颁发)的 EV 代码签名证书其 USB 令牌(Token)或 HSM 需要支持 4096 位密钥。
4、由于时间戳服务是代码签名长期有效的重要组成部分,因此时间戳 URL 也做了更新,并将密钥长度从 2048 位更改为 3072 位密钥。
请在 2021 年 6 月 1 日之前迁移到新 R6 代码签名时间戳 URL(timestamp.globalsign.com / tsa / r6advanced1);
2021 年 6 月 1 日之后,旧版 R3 TSA URL(rfc3161timestamp.globalsign.com /advanced ) 将被弃用。
GlobalSign 公告链接 :
https://www.globalsign.com/en/blog/changes-code-signing-key-length
说明:在CA更新之前颁发的代码签名或EV代码签名在证书到期之前不受影响。