Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Code ondertekening

Wat zijn de vereisten van het CA/Browser-forum voor privésleutels van codeondertekeningscertificaten? Bent u voorbereid?

Posted byArische Kumar 4 Minuten
Wat zijn de vereisten van het CA Browser-forum voor privésleutels van codeondertekeningscertificaten? Bent u voorbereid?
Inhoudsopgave

Veiligheid is van cruciaal belang in de digitale wereld van vandaag, vooral als het gaat om de bescherming van codesigning-certificaat Privésleutels. Door de jaren heen hebben ontwikkelaars codeondertekeningscertificaten gebruikt om de authenticiteit, integriteit en betrouwbaarheid van hun softwaretoepassingen vast te stellen. De privésleutels die bij het codeondertekeningscertificaat hoorden, waren echter niet afdoende beschermd vanwege een gebrek aan strikt beleid en richtlijnen.

In deze blog gaan we dieper in op de recente updates van de basisvereisten voor codeondertekeningscertificaten door het Certificate Authority/Browser (CA/B) Forum, die vanaf 1 januari 2019 moeten worden geïmplementeerd.st Juni 2023.

Wat zijn CA/B Forum-updates?

Het CA/Browser Forum, een consortium van certificeringsinstanties (CA's) en browserleveranciers, herziet periodiek haar richtlijnen en vereisten om de beveiliging van digitale certificatenIn een recente update introduceerde het forum nieuwe aanbevelingen die specifiek gericht zijn op de privésleutels van code-ondertekeningscertificaten. Deze updates zijn bedoeld om opkomende beveiligingsrisico's aan te pakken en de algehele beveiligingspositie van de code-ondertekening ecosysteem.

Vanaf 1 juni 2023 is het verplicht dat de persoonlijke sleutels van abonnees die gekoppeld zijn aan codeondertekeningscertificaten, worden beschermd met een hardwarecryptomodule die voldoet aan: FIPS Vereisten voor 140-2 Niveau 2 of Common Criteria EAL 4+. Abonnees moeten een van de goedgekeurde benaderingen kiezen voor het genereren en beveiligen van hun privésleutels voor codeondertekeningscertificaten:

  1. Option 1

    Gebruik een Hardware Crypto Module die door hen wordt beheerd en die voldoet aan de voorgeschreven normen.

  2. Option 2

    Maak gebruik van een cloudgebaseerde oplossing voor sleutelgeneratie en -beveiliging die voldoet aan de volgende criteria:

    • Houdt privésleutels binnen de beveiligde grenzen van de hardwarecryptiemodule van het cloudplatform en voldoet aan de opgegeven vereisten.
    • Registreert alle toegang, bewerkingen en configuratiewijzigingen met betrekking tot de bronnen die de persoonlijke sleutel beveiligen.

  3. Option 3

    Maak gebruik van een ondertekeningsservice die voldoet aan de vastgestelde basisvereisten.

Bovendien moeten CA's verifiëren of de persoonlijke sleutel van de abonnee wordt gegenereerd, opgeslagen en gebruikt in een geschikte hardwarecryptiemodule met behulp van een van de volgende methoden:

  1. De CA biedt een hardwarecryptiemodule met vooraf gegenereerde sleutelparen.
  2. De abonnee gebruikt sleutelattestatie om de veilige generatie van de persoonlijke sleutel in een hardwarecryptiemodule te verifiëren.
  3. De abonnee gebruikt een voorgeschreven cryptobibliotheek en een geschikte hardwarecryptiemodule voor het genereren en opslaan van sleutelparen.
  4. De abonnee presenteert een IT-auditrapport waarin wordt bevestigd dat uitsluitend een geschikte hardwarecryptiemodule wordt gebruikt voor het genereren van sleutelparen voor codeondertekeningscertificaten.
  5. De abonnee verstrekt een rapport van zijn op de cloud gebaseerde oplossing voor sleutelbescherming, waarin de veilige configuratie van bronnen voor de bescherming van de privésleutel wordt gedemonstreerd.
  6. De CA vertrouwt op een rapport, ondertekend door een erkende auditor, waarin de aanmaak van sleutelparen in een geschikte hardwarecryptiemodule wordt bevestigd, inclusief cloudgebaseerde oplossingen.
  7. De abonnee verstrekt een overeenkomst waarin hij akkoord gaat met het gebruik van een ondertekeningsservice die voldoet aan de vereisten.

Oplossing voor codeondertekening voor bedrijven

Ontvang één oplossing voor al uw cryptografische behoeften op het gebied van softwarecodeondertekening met onze codeondertekeningsoplossing.

Boek een adviesgesprek

Hoe kunt u compliant blijven?

Om te garanderen dat ze voldoen aan deze updates en de beveiliging van hun digitale certificaten te verbeteren, moeten organisaties de volgende stappen ondernemen:

  • Bekijk de vereisten

    Bestudeer de bijgewerkte aanbevelingen van het CA/Browser Forum grondig om inzicht te krijgen in de specifieke vereisten en wijzigingen met betrekking tot privésleutels van codeondertekeningscertificaten.

  • Bestaande infrastructuur beoordelen

    Organisaties moeten hun huidige infrastructuur en hun methoden identificeren om privésleutels voor codeondertekeningscertificaten te genereren en te beschermen. Deze beoordeling zal helpen bij het identificeren van hiaten of gebieden die moeten worden aangepakt om te voldoen aan de nieuwe richtlijnen.

  • Selecteer een geschikte aanpak

    Organisaties moeten een van de goedgekeurde benaderingen kiezen die in de blog worden genoemd om hun privésleutels voor codeondertekeningscertificaten te genereren en te beveiligen.

Wilt u weten hoe wij u kunnen helpen?

Encryptie Consulting's CodeSign Secure biedt organisaties een uitgebreide code-ondertekeningsoplossing, afgestemd op hun unieke vereisten. Door deze oplossing te gebruiken, kunnen organisaties een sterk code-ondertekeningsbeleid implementeren dat beveiligingsrisico's effectief beperkt en de authenticiteit van hun software waarborgt. Ons product stroomlijnt het code-ondertekeningsproces en biedt een reeks functies die zijn ontworpen om de beveiliging te verbeteren.

Een belangrijk kenmerk van CodeSign Secure is veiligheid sleutelbeheerHet stelt organisaties in staat om hun persoonlijke sleutels van het code-ondertekeningscertificaat veilig op te slaan door integratie met toonaangevende Hardware-beveiligingsmodules (HSM's) die FIPS-gecertificeerd zijn. Deze integratie elimineert de potentiële risico's die gepaard gaan met gestolen, beschadigde of misbruikte sleutels, aangezien de privésleutels de HSM nooit verlaten tijdens de codeondertekening.

Conclusie

Concluderend benadrukken de recente updates van de Baseline Requirements for Code Signing Certificates door het CA/Browser Forum het belang van de bescherming van de privésleutels van codeondertekeningscertificaten. Organisaties moeten zich aanpassen aan deze updates door robuuste maatregelen te implementeren, zoals het gebruik van hardwarecryptomodules die niet alleen voldoen aan, maar zelfs overtreffen, de vereisten van FIPS 140-2 Level 2 of Common Criteria EAL 4+. Organisaties kunnen het vertrouwen, de integriteit en de authenticiteit van hun softwareapplicaties versterken door prioriteit te geven aan de beveiliging van de privésleutels van codeondertekeningscertificaten.

Referentie: Basisvereisten voor codeondertekening

Ontdek onze

Gerelateerde blogs

hun software en gebruikers beschermen

Top Code Signing Tools voor 2026

1 januari 2026
Digitaal vertrouwen opbouwen door middel van CRA-gecoördineerde codeondertekening

Digitaal vertrouwen opbouwen door middel van CRA-gecoördineerde codeondertekening

October 25, 2025

Hybride cryptografie voor de CNSA 2.0-transitie

Hybride cryptografie voor de CNSA 2.0-transitie

18 september 2025

Bestudeer

Meer onderwerpen