根据 CA/B 论坛要求,为提升代码签名证书私钥的保护强度,从 2023 年 6 月 1 日起,普通的 OV代码签名证书私钥必须存储在 FIPS 140 2 级以上、Common Criteria EAL 4 级以上或同等认证级别的硬件上,这意味着普通的 OV 代码签名证书私钥保护方式与 EV代码签名证书的私钥保护机制一样了。
为了响应这一策略,相关 CA发布了执行这一策略的具体时间:
Sectigo:2023年5月8日
GlobalSign:2023年4月24日
DigiCert:2023年5月16日
Entrust:2023年6月1日
为此,环度网信建议需要代码签名软证书(无需硬件支持的 PFX 证书)的用户,一定在上述 CA 发布的时间之前到环度网信为之前的软证书续费或者申请新的证书,用户可以从自己的业务需要角度出发选择申请 1- 3 年有效期的软证书,这或许是最后一次机会来使用软证书形式的代码签名证书。
用户可以使用自己的硬件或令牌吗
目前,受支持的硬件包括:
Thales/Safenet Luna和netHSM设备
Yubico FIPS Yubikeys(仅适用于ECC密钥)
随着越来越多的硬件和服务提供对密钥证明的支持,此名单将来可能会扩展。
申请地址:https://www.ihuandu.com/screen-product-44-ssl_brand--domain_type-8-ssl_level-2-ssl_encrypt-.html
为响应行业号召以及给用户尽可能的带去相关便利,环度网信决定和相关CA停止颁发软证书的时间保持一致。但需要注意的是,申请代码签名证书有一个审核时间,通常 1-3 工作日,因此当您需要申请软证书的时候,请 把该时间考虑到您的采购流程中去。
此次普通 OV 代码签名证书私钥保护标准的实施,将大大地提高代码签名证书的安全性和可靠性,为您的业务安全提供更有力的保障。同时,我们也将持续关注进行业标准的变化和发展,不断提升产品和服务的质量,为您提供更加专业、优质的代码签名服务。