Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Codesignatur

CA/B-Forum und Code Signing

Geschrieben vonArier Kumar 7 Мinuten
CA/B-Forum und Code Signing
Inhaltsverzeichnis

Angesichts der ständigen Zunahme von Cyber-Bedrohungen und der Ausnutzung von Sicherheitslücken ist Online-Sicherheit notwendig, um den Verlust persönlicher Daten zu verhindern. Daher Digitale Zertifikate sind die bekannteste Online-Sicherheitsmethode, die die Daten des Benutzers vor einem Verletzung durch den Aufbau einer sicheren Online-Verbindung. Die Reduzierung der Wahrscheinlichkeit, Phishing-Nachrichten oder Malware zu erhalten, macht digitale Zertifikate zu einer wichtigen und kontinuierlich genutzten Maßnahme für die Entwicklung eines sicheres digitales Vertrauen.

Um dieses Vertrauen und die Verantwortlichkeit für jede digitale Interaktion aufrechtzuerhalten, müssen bestimmte Vorschriften befolgt werden. Die Zertifizierungsstellen-Browser-Forum ist eine freiwillige Organisation, die mit vielen Zertifizierungsstellen zusammenarbeitet und so durch die Schaffung festgelegter Standardanforderungen die Gültigkeit digitaler Zertifikate garantiert.  

Das Hauptziel des CA/B Forums ist die Verbesserung des Online-Vertrauens und der Online-Sicherheit. Dies wird durch die Formulierung von Industriestandards, den sogenannten Baseline Requirements, erreicht. Alle Zertifizierungsstellen muss digitale Zertifikate gemäß diesen Anforderungen ausstellen und handhaben, sei es für eine SSL / TLS Protokoll oder ein Code Signing-Zertifikat.

Das SSL/TLS-Zertifikat bestätigt dem Kunden die Identität der Website, und die Code-Signatur weist den Anwendungsentwickler aus. Diese Standards sind entscheidend für die Vertrauenswürdigkeit des digitalen Zertifizierungssystems und sorgen für Sicherheit in der Cyberwelt.  

Aktualisierungen der CA/B-Forenanforderungen für die Code-Signierung

Das CA/Browser-Forum ist auch wichtig, um eine Umgebung zu schaffen, in der CAs und Browser-Anbieter sicherstellen, dass die digitalen Zertifikate die spezifischen Anforderungen erfüllen und einhalten. Im Laufe der Jahre wurden viele Änderungen an den CA/Browser-Basisanforderungen vorgenommen, die zu einer sichereren Codesignatur Umwelt.

Die festgelegten Standards ermöglichen es dem Endbenutzer, zu erkennen, wo der signierte Code tatsächlich verwendet wurde. Darüber hinaus erhöhen sie das Vertrauen in das Unternehmen, verringern die Verbreitung von Schadsoftware und stellen sicher, dass sicherer Code dort eingesetzt wird, wo er am dringendsten benötigt wird.  

Die Einhaltung dieser Richtlinien des CA/B-Forums trägt maßgeblich zum Schutz der Glaubwürdigkeit und Gültigkeit digitaler Zertifikate bei. Diese Anforderungen legen optimale Verfahren für die Ausstellung und Verwaltung digitaler Zertifikate fest. Durch die Einhaltung der Vorschriften können Zertifizierungsstellen die Validität und Vertrauenswürdigkeit der ausgestellten Zertifikate bestätigen. Darüber hinaus fördern diese Standards eine zuverlässigere digitale Plattform, auf der sich Nutzer hinsichtlich der Informationen und der verwendeten Software sicher fühlen können.  

2021 – Erste Updates zur Stärkung des Fundaments

  • Mindestschlüsselstärke erhöht (Juni 2021)

    Mit dem Update vom Juni 2021 wurde die Mindestschlüsselstärke für mehrere Zertifikate erhöht. Da die Stärke des Schlüssels die Schwierigkeit bestimmt, ihn zu knacken, ist ein solcher höherer Schlüssel in einer digitalen Umgebung beispielsweise RSA-3072, ist es viel schwieriger, die digitale Signatur zu fälschen, was letztendlich für mehr Datenintegrität und Authentizität sorgt.

  • Strengere Verifizierung und Schutz privater Schlüssel (Juni 2021)

    Das CA/B-Forum implementiert eine strengere Zertifikatsidentitätsprüfung und einen strengeren Schutz privater Schlüssel. Diese privaten Schlüssel sollten durch die Anwendung von oder gleichwertig gesichert werden FIPS 140-2 Kryptografische Module der Stufe 2, die keinen unbefugten Kontrollzugriff zulassen.

2022 – Fokus auf bestimmte Schwachstellen und Updates  

  • Adressierung des untergeordneten CA-Zertifikats (März 2022)

    Für dieses Update musste jedes von der ausstellenden Zertifizierungsstelle ausgestellte Zertifikat, das zum Zeitstempeln oder Generieren von Code Sign-Zertifikaten verwendet wird, eine vom CA/B-Forum reservierte Kennung enthalten. Dies trug dazu bei, die Zeitstempelung zuverlässig und effizient zu gestalten.

  • Auslaufen von SHA-1 (April 2022)

    Die Einschränkungen des CA/B-Forums zur Verwendung SHA-1 auf Zeitstempel-Token waren nützlich, um Fälschungen zu verhindern.

  • Zeitkodierung (Juli 2022)

    Dieses Update klassifiziert die Zeitkodierung in den Sperreinträgen von Code-Signatur-Zertifikaten. Zuvor gab es eine Diskrepanz in der Zeitkodierung im Feld „Ungültigkeitsdatum“ von CRL und die im Feld „revocationDate“ des tatsächlich widerrufenen Zertifikats kodierte Zeit. Ziel dieser Aktualisierung war es, Konsistenz und Genauigkeit sicherzustellen, indem vorgeschrieben wurde, dass die in beiden Feldern kodierte Zeit gleich sein muss.

2023 – Fokus auf die Sicherheit privater Schlüssel

  • Obligatorische Hardware-Kryptomodule (Juni 2023)

    Im Juni 2023 wurde eine wichtige Änderung eingeführt, die vorschrieb, dass alle Code Signing-Zertifikate Hardware-Kryptomodule zur Generierung, Speicherung und Verwendung privater Schlüssel verwenden müssen. Hardware-Kryptomodule, oft als HSMs bezeichnet, sind wie Hochsicherheitstresore für private Schlüssel; sie verringern die Wahrscheinlichkeit einer Kompromittierung drastisch. Diese HSMs müssen den Anforderungen von FIPS 140-2 Level 2 (oder höher) oder Common Criteria EAL 4+ entsprechen.

    Zuvor war die softwarebasierte Schlüsselgenerierung eine Option, die die Übertragung privater Schlüssel erleichterte. Darüber hinaus wurden die Verifizierungsverfahren für Zertifikate mit Organisations- und Personenvalidierung verschärft, um die Identität der Zertifikatsbesteller zu bestätigen. Die vom CA/B-Forum im Juni 2023 beschlossenen Verbesserungen stellen einen bedeutenden Fortschritt dar, um das Code-Signing-Verfahren sicherer zu machen und das Risiko der Datenmissbrauchs zu verringern.

Enterprise Code-Signing-Lösung

Holen Sie sich mit unserer Code-Signing-Lösung eine Lösung für alle Ihre kryptografischen Software-Code-Signing-Anforderungen.

Demo buchen

Verantwortlichkeiten des CA/B-Forums

Das CA/Browser-Forum ist für verschiedene Aktivitäten verantwortlich, wie zum Beispiel:

  • Unterstützung der Branchenzusammenarbeit

    Das CA/B-Forum fördert die Zusammenarbeit durch regelmäßige Konferenzen und Diskussionen seiner Mitglieder. Diese Konferenzen dienen CAs, Browser-Händlern und anderen Investoren als Plattform für den Informationsaustausch, die Diskussion neuer Risiken und die gemeinsame Entwicklung von Lösungen. Das CA/B-Forum verfügt außerdem über eine Mailingliste und ein Online-Medium, über das die Mitglieder kommunizieren und zusammenarbeiten können.

  • Identifizierung neuer Bedrohungen

    Das CA/B-Forum verfolgt regelmäßig die sich verändernde Cyber-Bedrohungslage. Es gibt verschiedene Möglichkeiten, mögliche Bedrohungen zu identifizieren, z. B. Threat Intelligence-Berichte, verschiedene Branchentreffen und technische Untersuchungen. Sobald eine Bedrohung erkannt wurde, arbeitet das CA/B-Forum mit seinen Mitgliedern zusammen, um die entsprechenden Maßnahmen zu erarbeiten. Dies kann eine Änderung der Baseline Requirements oder die Veröffentlichung neuer Richtlinien erfordern.

  • Definieren technischer Spezifikationen

    Das CA/B-Forum definiert Spezifikationen durch seine technischen Experten aus den Mitgliedsorganisationen. Diese Organisationen können Zertifizierungsstellen (CAs), Browser-Anbieter usw. sein.

    Diese Arbeitsgruppen erarbeiten die Bedingungen für die Ausstellung digitaler Zertifikate, die Verifizierung, Widerrufund Verwaltung. Sie geben beispielsweise die Mindestschlüsselstärke für jedes Zertifikat und die genauen kryptografischen Algorithmen an, die verwendet werden sollen.

  • Formulierung verbindlicher Compliance-Standards

    Das CA/B-Forum setzt seine Standards nicht direkt durch. Es legt jedoch verbindliche Compliance-Anforderungen durch Abstimmungen seiner Mitglieder fest. Diese Anforderungen bestimmen die Maßnahmen, die Zertifizierungsstellen (CAs) bei der Ausstellung und Verwaltung von Zertifikaten ergreifen müssen.

    Das CA/B-Forum veröffentlicht außerdem Dokumente mit den Basisanforderungen, in denen diese verbindlichen Standards detailliert beschrieben werden. CAs, die diese Standards nicht einhalten, riskieren, das Vertrauen des Browsers zu verlieren und dass ihre ausgestellten Zertifikate als nicht vertrauenswürdig gekennzeichnet werden.

Zukünftige Vorschläge von CA/Browser Forum

Da sich die Technologie rasant weiterentwickelt, blickt das CA/B Forum stets in die Zukunft, um sicherzustellen, dass das bestehende System weiterhin ein wichtiger Bestandteil des Online-Vertrauens bleibt. Dies bedeutet nicht nur, auf neue Bedrohungen zu reagieren, sondern auch proaktiv zu berücksichtigen, wie sich durch die Weiterentwicklung der Technologien der Prozess der Ausstellung, Validierung und Verwaltung von Zertifikaten verändern kann. Darüber hinaus stellt das Forum sicher, dass die Basisanforderungen mit den sich ändernden Vorschriften und bewährten Verfahren der Branche Schritt halten.

Im Folgenden sind die vorgeschlagenen Vorschläge für die zukünftige Umsetzung aufgeführt:

  • Strengere Widerrufsvoraussetzungen (Vorschlag April 2024)

    Derzeit können Zertifikate nur widerrufen werden, wenn der zugehörige private Schlüssel kompromittiert ist. Das vorgeschlagene Update erweitert jedoch den Umfang der Selbstwiderrufung von Zertifikaten, die zum Signieren verdächtiger Programme verwendet werden. Durch den sofortigen Widerruf solcher Zertifikate trägt das CA/B-Forum dazu bei, die Installation und Ausführung dieser schädlichen Anwendungen zu verhindern.

  • Obligatorische Audits (Vorgeschlagen im Juni 2024)

    Audits dienen als unabhängige Sicherheitsprüfung und bestätigen, dass die Signaturdienste den neuesten Sicherheitsstandards des CA/B-Forums entsprechen. Dies hilft, mögliche Schwachstellen im Code-Signing-Prozess zu identifizieren. Durch die umgehende Behebung dieser Schwachstellen trägt das CA/B-Forum dazu bei, die Risiko kompromittierter Zertifikate oder andere Sicherheitsverletzungen im Code-Signaturprozess.

Fazit

Es ist wichtig, mit den ständig wachsenden Sicherheitsanforderungen des CA/B-Forums Schritt zu halten, um die Integrität der Code Signing-Zertifikate zu gewährleisten. CodeSign Secure Lösung unterstützt Sie bei FIPS 140-2 Level 3 HSM Konformität gemäß der Spezifikation der Basisanforderungen des CA/Browser Forums ab dem 1. Juni 2023.

Zusätzlich zur CodeSign Secure-Lösung bietet unser HSM als Service ist FIPS 140-2 Level 3-validierte Hardware und bietet umfassende Abdeckung für Unternehmen, die noch mehr Sicherheit wünschen. Unsere Lösungen und Services gewährleisten, dass der Code Signing-Prozess gemäß den neuesten Best Practices und CA/B-Forum-Spezifikationen in einer sicheren, vertrauensorientierten und benutzerzentrierten Softwarelandschaft abläuft. 

Entdecken Sie unsere

Verwandte Blogs

Bedeutung der Firmware-Signierung

Bootloader-Vertrauen: Die entscheidende Rolle der Firmware-Signatur

5. Juni 2026
Integration von Post-Quanten-Kryptographie in Codesignatur-Workflows

Integration von Post-Quanten-Kryptographie in Codesignatur-Workflows

2. Juni 2026
Integrieren Sie CodeSign Secure in Ihre CircleCI-Pipeline

So integrieren Sie CodeSign Secure in Ihre CircleCI-Pipeline

May 13, 2026

Entdecken

Weitere Themen