Meteen naar de inhoud

Certificaten met een geldigheidsduur van 47 dagen komen eraan. Ben je klaar?

Handel nu →

  1. Blogs
    2. Code ondertekening

CA/B-forum en codeondertekening

Posted byArische Kumar 7 minuten
CA/B-forum en codeondertekening
Inhoudsopgave

Met de constante toename van cyberdreigingen en het misbruik van kwetsbaarheden is online beveiliging noodzakelijk om verlies van persoonlijke informatie te voorkomen. Digitale certificaten zijn de meest bekende online beveiligingsmethode die de gegevens van de gebruiker beschermt tegen een overtreding door een beveiligde online verbinding tot stand te brengen. Het verkleinen van de kans op het ontvangen van phishingberichten of malware maakt digitale certificaten een belangrijke en continu gebruikte maatregel voor het ontwikkelen van een veilig digitaal vertrouwen.

Om dit vertrouwen en deze verantwoording voor elke digitale interactie te behouden, moet een reeks regels worden gevolgd. Certificeringsinstantie Browserforum is een vrijwilligersorganisatie die samenwerkt met een groot aantal certificeringsinstanties en zo de geldigheid van digitale certificaten garandeert door het opstellen van vaste standaardvereisten.  

De primaire doelstelling van het CA/B Forum is het verbeteren van online vertrouwen en veiligheid. Dit bereiken ze door het formuleren van industriestandaarden, de zogenaamde Baseline Requirements, en alle CA's moet digitale certificaten leveren en verwerken volgens die vereisten, ongeacht of het om een SSL / TLS protocol of een codeondertekeningscertificaat.

Het SSL/TLS-certificaat bevestigt de identiteit van de website aan de klant, en de Code Signing bewijst dit aan de applicatieontwikkelaar. Deze standaarden zijn cruciaal om de betrouwbaarheid van het digitale certificeringssysteem te waarborgen en de cyberwereld veilig te maken.  

Updates in CA/B-forums Vereisten voor codeondertekening

Het CA/Browser Forum is ook belangrijk voor het creëren van een omgeving waarin CA's en browserleveranciers ervoor zorgen dat de digitale certificaten voldoen aan de specifieke vereisten. In de loop der jaren zijn er veel wijzigingen aangebracht in de CA/Browser Baseline Requirements, wat heeft geleid tot een veiligere omgeving. Code ondertekening milieu.

De vastgestelde standaarden stellen de eindgebruiker in staat te weten waar de ondertekende code daadwerkelijk is gebruikt. Bovendien vergroot het het vertrouwen in de onderneming, vermindert het de verspreiding van malware en zorgt het ervoor dat veilige code wordt gebruikt waar deze het meest nodig is.  

Het naleven van deze richtlijnen, opgelegd door het CA/B Forum, is essentieel voor het beschermen van de geloofwaardigheid en geldigheid van digitale certificaten. Deze vereisten vormen de ideale werkwijze voor het uitgeven en beheren van digitale certificaten. Door zich aan de regelgeving te houden, kunnen certificeringsinstanties certificeren dat de uitgegeven certificaten gevalideerd en betrouwbaar zijn. Bovendien bevorderen deze standaarden een betrouwbaarder digitaal platform waar gebruikers zich veilig kunnen voelen met de informatie die ze tegenkomen en de software die ze gebruiken.  

2021 – Eerste updates ter versterking van de basis

  • Minimale sleutelsterkte verhoogd (juni 2021)

    De update van juni 2021 verhoogde de minimale sleutelsterkte voor verschillende certificaten. Omdat de sterkte van de sleutel de moeilijkheidsgraad van het kraken ervan bepaalt, is in een digitale omgeving een dergelijke hogere sleutel bijvoorbeeld vereist. RSA-3072, is een stuk lastiger om de digitale handtekening te vervalsen, wat uiteindelijk zorgt voor meer gegevensintegriteit en authenticiteit.

  • Striktere verificatie en bescherming van privésleutels (juni 2021)

    Het CA/B Forum implementeert strengere verificatie van certificaatidentiteit en bescherming van privésleutels. Deze privésleutels moeten worden beveiligd door toepassing van of gelijk aan FIPS 140-2 cryptografische modules van niveau 2, die geen ongeautoriseerde toegang toestaan.

2022 – Focus op bepaalde kwetsbaarheden en updates  

  • Certificaat voor ondergeschikte CA (maart 2022)

    Voor deze update moest elk certificaat uitgegeven door de uitgevende CA dat werd gebruikt voor tijdstempeling of het genereren van Code Sign-certificaten, een gereserveerde CA/B Forum-ID bevatten. Dit maakte de tijdstempeling betrouwbaar en efficiënt.

  • Uitfasering van SHA-1 (april 2022)

    De beperkingen van het CA/B Forum op het gebruik SHA-1 op tijdstempeltokens waren nuttig om vervalsingen te voorkomen.

  • Tijdcodering (juli 2022)

    Deze update classificeert de tijdcodering binnen de intrekkingsvermeldingen van codeondertekeningscertificaten. Voorheen was er een discrepantie in de tijdcodering in het veld 'Ongeldigheidsdatum' van CRL en de tijd die is gecodeerd in het veld "revocationDate" in het daadwerkelijk ingetrokken certificaat. Deze update was bedoeld om consistentie en nauwkeurigheid te garanderen door te bepalen dat de tijd in beide velden gelijk moet zijn.

2023 – Focus op beveiliging van privésleutels

  • Verplichte hardwarecryptomodules (juni 2023)

    In juni 2023 werd een belangrijke wijziging doorgevoerd die vereiste dat alle codeondertekeningscertificaten hardwarematige cryptomodules moesten gebruiken voor het genereren, opslaan en gebruiken van privésleutels. Hardwarematige cryptomodules, vaak HSM's genoemd, zijn vergelijkbaar met streng beveiligde kluizen voor privésleutels; ze verkleinen de kans op compromittering aanzienlijk. Deze HSM's moeten voldoen aan de vereisten van FIPS 140-2 Level 2 (of hoger) of Common Criteria EAL 4+.

    Voorheen was softwarematige sleutelgeneratie een optie, waardoor privésleutels gemakkelijker konden worden verzonden. Bovendien zijn de verificatietechnieken voor certificaten met organisatievalidatie en individuele validatie strenger gemaakt om de identiteit van de aanvragers van deze certificaten te bevestigen. De verbeteringen die het CA/B Forum in juni 2023 heeft doorgevoerd, vormen een aanzienlijke stap voorwaarts in het veiliger maken van de codeondertekeningsprocedure en het verkleinen van de kans op datamisbruik.

Oplossing voor codeondertekening voor bedrijven

Ontvang één oplossing voor al uw cryptografische behoeften op het gebied van softwarecodeondertekening met onze codeondertekeningsoplossing.

Boek een adviesgesprek

Verantwoordelijkheden van het CA/B Forum

Het CA/Browser Forum is verantwoordelijk voor verschillende activiteiten, zoals:

  • Ondersteuning van samenwerking in de industrie

    Het CA/B Forum faciliteert samenwerking door regelmatig conferenties en discussies tussen haar leden te organiseren. Deze conferenties dienen als platform voor CA's en browserverkopers, evenals andere investeerders, om informatie uit te wisselen, nieuwe risico's te bespreken en samen te werken aan oplossingen. Het CA/B Forum beschikt ook over een mailinglijst en een online medium waar leden kunnen communiceren en samenwerken.

  • Het identificeren van opkomende bedreigingen

    Het CA/B Forum volgt de veranderende cyberdreigingssituatie regelmatig. Er zijn verschillende manieren om mogelijke dreigingen te identificeren, zoals via rapporten over dreigingsinformatie, diverse branchebijeenkomsten en technisch onderzoek. Zodra een dreiging is ontdekt, werkt het CA/B Forum samen met zijn leden om de juiste maatregelen te bepalen. Dit kan betekenen dat de basisvereisten moeten worden aangepast of dat nieuwe richtlijnen moeten worden gepubliceerd.

  • Technische specificaties definiëren

    Het CA/B Forum definieert specificaties via de technische experts van de aangesloten organisaties. Deze organisaties kunnen certificeringsinstanties of CA's zijn, maar ook browserleveranciers, enzovoort.

    Deze werkgroepen werken de voorwaarden van een digitaal certificaatuitgifteproces, verificatie, herroeping, en beheer. Ze geven bijvoorbeeld de minimale sleutelsterkte voor elk certificaat aan en de exacte cryptografische algoritmen die gebruikt moeten worden.

  • Het formuleren van verplichte nalevingsnormen

    Het CA/B Forum handhaaft zijn normen niet rechtstreeks. Ze stellen echter wel verplichte nalevingsvereisten vast via een procedure van stemming door hun leden. Deze vereisten bepalen welke maatregelen certificeringsinstanties (CA's) moeten nemen bij het uitgeven en beheren van certificaten.

    Het CA/B Forum publiceert ook documenten met basisvereisten waarin deze verplichte normen worden beschreven. CA's die zich hier niet aan houden, lopen het risico het vertrouwen van hun browser te verliezen en dat hun uitgegeven certificaten als niet-vertrouwd worden gemarkeerd.

Toekomstige voorstellen van CA/Browser Forum

Omdat technologie snel verandert, kijkt het CA/B Forum altijd vooruit om ervoor te zorgen dat het bestaande systeem een ​​belangrijk onderdeel blijft van online vertrouwen. Dit betekent niet alleen reageren op nieuwe bedreigingen, maar ook proactief nadenken over hoe evoluerende technologieën het proces voor de uitgifte, validering en het beheer van certificaten kunnen veranderen. Ze zorgen er ook voor dat de basisvereisten parallel blijven lopen met veranderende regelgeving en best practices in de branche.

Hieronder volgen de voorgestelde voorstellen voor toekomstige implementatie:

  • Strengere intrekkingsvereisten (voorgesteld april 2024)

    Momenteel kunnen certificaten alleen worden ingetrokken als de bijbehorende privésleutel gecompromitteerd is, maar de voorgestelde update breidt de mogelijkheden voor zelfintrekking van het certificaat dat wordt gebruikt om verdachte programma's te ondertekenen, uit. Door dergelijke certificaten onmiddellijk in te trekken, helpt het CA/B Forum de installatie en uitvoering van deze kwaadaardige applicaties te voorkomen.

  • Verplichte audits (voorgesteld juni 2024)

    Audits fungeren als een onafhankelijke beveiligingsinspectie en bevestigen dat deze ondertekeningsservices voldoen aan de nieuwste beveiligingsnormen van het CA/B Forum. Dit helpt bij het identificeren van mogelijke fouten of kwetsbaarheden in de codeondertekening. Door deze kwetsbaarheden snel aan te pakken, draagt ​​het CA/B Forum bij aan het beperken van de risico's. risico op gecompromitteerde certificaten of andere beveiligingsinbreuken binnen het codeondertekeningsproces.

Conclusie

Het is belangrijk om op de hoogte te blijven van de voortdurend groeiende beveiliging van het CA/B Forum om de integriteit van de codeondertekeningscertificaten te garanderen. Encryption Consulting's CodeSign Secure oplossing helpt u met FIPS 140-2 Niveau 3 HSM naleving, volgens de specificaties van het CA/Browser Forum van de basisvereisten vanaf 1 juni 2023.

Naast de CodeSign Secure-oplossing bieden wij ook: HSM-as-a-service is FIPS 140-2 Level 3 gevalideerde hardware, wat volledige dekking biedt voor organisaties die op zoek zijn naar een nog hogere beveiliging. Onze oplossingen en diensten zorgen ervoor dat het codeondertekeningsproces verloopt volgens de nieuwste best practices en CA/B Forum-specificaties in een veilig, op vertrouwen gericht en gebruikersgericht softwarelandschap. 

Ontdek onze

Gerelateerde blogs

Het belang van firmwareondertekening

Bootloader-vertrouwen: de cruciale rol van firmware-ondertekening

5 juni 2026
Integratie van post-kwantumcryptografie in workflows voor codeondertekening

Integratie van post-kwantumcryptografie in workflows voor codeondertekening

2 juni 2026
Integreer CodeSign Secure met uw CircleCI-pipeline.

Hoe integreer je CodeSign Secure met je CircleCI-pipeline?

May 13, 2026

Ontdek het hier

Meer onderwerpen