CA/B-forum och kodsignering

Med den ständiga ökningen av cyberhot och utnyttjande av sårbarheter är onlinesäkerhet nödvändig för att förhindra förlust av personlig information. Därför, Digitala certifikat är den mest kända onlinesäkerhetsmetoden som skyddar användarens data från en brott genom att upprätta en säker anslutning online. Att minska sannolikheten för att ta emot nätfiskemeddelanden eller skadlig kod gör digitala certifikat till en viktig och kontinuerligt använd åtgärd för att utveckla en säkert digitalt förtroende.

För att upprätthålla detta förtroende och ansvarsskyldighet för varje digital interaktion måste en uppsättning regler följas. Certifieringsutfärdarens webbläsarforum är en frivilligorganisation som samarbetar med många certifieringsmyndigheter och därmed garanterar giltigheten av digitala certifikat genom att skapa fastställda standardkrav.  

CA/B-forumets främsta mål är att öka förtroendet och säkerheten online. De uppnår detta genom att formulera branschstandarder som kallas baskrav, och alla CA måste leverera och hantera digitala certifikat enligt dessa krav, oavsett om det gäller en SSL / TLS protokoll eller ett kodsigneringscertifikat.

SSL/TLS-certifikatet bekräftar webbplatsens identitet för klienten, och kodsigneringen bevisar applikationsutvecklaren. Dessa standarder är avgörande för att säkerställa det digitala certifieringssystemets tillförlitlighet och göra cybervärlden säker.  

Uppdateringar i CA/B-forum Krav för kodsignering

CA/Browser-forumet är också viktigt för att skapa en miljö där CA:er och webbläsarleverantörer säkerställer att de digitala certifikaten uppfyller och följer de specifika kraven. Under årens lopp har många ändringar gjorts i CA/Browser-baskraven, vilket har lett till en säkrare Kodsignering miljö.

De fastställda standarderna gör det möjligt för slutanvändaren att veta var den signerade koden faktiskt har använts. Dessutom ökar det förtroendet för verksamheten, minskar spridningen av skadlig kod och säkerställer att säker kod används där den behövs som mest.  

Att följa dessa riktlinjer från CA/B-forumet är avgörande för att skydda trovärdigheten och giltigheten hos digitala certifikat. Dessa krav etablerar idealiska metoder för att utfärda och administrera digitala certifikat. Genom att följa reglerna kan certifikatutfärdare intyga att de utfärdade certifikaten är validerade och tillförlitliga. Dessutom kommer dessa standarder att främja en mer pålitlig digital plattform där användare kan känna sig trygga med den information de stöter på och den programvara de använder.  

2021 – Inledande uppdateringar för att stärka grunden

• Minsta nyckelstyrka ökad (juni 2021)

  Uppdateringen i juni 2021 höjde den lägsta nyckelstyrkan för flera certifikat. Eftersom nyckelstyrkan avgör svårigheten att knäcka den, kan en sådan högre nyckel i en digital miljö, till exempel, RSA-3072, är mycket mer utmanande att förfalska den digitala signaturen, vilket i slutändan säkerställer mer dataintegritet och autenticitet.

• Striktare verifiering och skydd av privata nycklar (juni 2021)

  CA/B Forum implementerar strängare verifiering av certifikatidentitet och skydd av privata nycklar. Dessa privata nycklar bör säkras genom att tillämpa eller lika med FIPS 140-2 kryptografiska moduler på nivå 2, som inte tillåter obehörig kontrollåtkomst.

2022 – Fokus på vissa sårbarheter och uppdateringar  

• Att hantera underordnat CA-certifikat (mars 2022)

  För den här uppdateringen var alla certifikat som utfärdats av den utfärdande certifikatutfärdaren och som används för tidsstämpling eller generering av kodsigneringscertifikat tvungna att innehålla en reserverad identifierare från certifikatutfärdaren/B-forumet. Detta bidrog till att göra tidsstämplingen tillförlitlig och effektiv.

• Utfasning av SHA-1 (april 2022)

  Restriktionerna från CA/B-forumet för användning SHA-1 på tidsstämpeltokens var användbara för att förhindra förfalskningar.

• Tidskodning (juli 2022)

  Den här uppdateringen klassificerar tidskodningen inom återkallningsposter för kodsigneringscertifikat. Tidigare fanns det en skillnad i tiden som kodades i fältet "Ogiltighetsdatum" i CRL och tiden som är kodad i fältet ”revocationDate” i det faktiska återkallade certifikatet. Denna uppdatering syftade till att säkerställa konsekvens och noggrannhet genom att kräva att tiden som är kodad i båda fälten måste vara lika.

2023 – Fokus på säkerhet med privata nycklar

• Obligatoriska hårdvarukryptomoduler (juni 2023)

  I juni 2023 krävde en större förändring att alla kodsigneringscertifikat måste använda hårdvarukryptomoduler för generering, lagring och användning av privata nycklar. Hårdvarukryptomoduler, ofta kallade HSM:er, är som högsäkerhetsvalv för privata nycklar; de minskar dramatiskt sannolikheten för kompromettering. Dessa HSM:er måste uppfylla kraven i FIPS 140-2 nivå 2 (eller högre) eller Common Criteria EAL 4+.

  Tidigare var mjukvarubaserad nyckelgenerering ett alternativ, vilket gjorde det möjligt att överföra privata nycklar enklare. Dessutom har verifieringsteknikerna för certifikat med organisationsvalidering och individuell validering gjorts striktare för att bekräfta identiteten på de som beställer dessa certifikat. De förbättringar som fastställdes av CA/B-forumet i juni 2023 är ett betydande framsteg för att göra kodsigneringsproceduren säkrare och minska risken för dataexploatering.

CA/B-forumets ansvarsområden

CA/Browserforumet ansvarar för olika aktiviteter såsom:

• Stödjer samarbete inom industrin

  CA/B-forumet underlättar samarbete genom att regelbundet sammankalla konferenser och diskussioner mellan sina medlemmar. Dessa konferenser fungerar som en plattform för CA:er och webbläsarhandlare, såväl som andra investerare, för att utbyta information, diskutera nya risker och samarbeta kring lösningar. CA/B-forumet har också en e-postlista och ett online-medium där medlemmar kan kommunicera och samarbeta.

• Identifiera framväxande hot

  CA/B-forumet följer regelbundet den föränderliga cyberhotssituationen. Det finns olika sätt att hitta möjliga hot, såsom hotinformationsrapporter, olika branschmöten och teknisk utredning. När ett hot har hittats kommer CA/B-forumet att samarbeta med sina medlemmar för att fastställa lämpliga åtgärder, vilket kan kräva att baskraven ändras eller att nya riktlinjer publiceras.

• Definiera tekniska specifikationer

  CA/B-forumet definierar specifikationer genom sina tekniska experter från medlemsorganisationerna. Dessa organisationer kan vara certifikatutfärdare eller CA, webbläsarleverantörer etc.

  Dessa arbetsgrupper utvecklar villkoren för en process för utfärdande av digitala certifikat, verifiering, återkallandeoch hantering. Till exempel anger de den lägsta nyckelstyrkan för varje certifikat och de exakta kryptografiska algoritmerna som ska användas.

• Formulering av obligatoriska efterlevnadsstandarder

  CA/B-forumet tillämpar inte direkt sina standarder. De fastställer dock obligatoriska efterlevnadskrav genom en process med omröstning bland sina medlemmar. Dessa krav avgör vilka åtgärder certifikatutfärdare (CA:er) måste vidta när de utfärdar och hanterar certifikat.

  CA/B-forumet publicerar även dokument om grundläggande krav som i detalj beskriver dessa obligatoriska standarder. CA:er som inte följer dessa riskerar att förlora webbläsarens förtroende och få sina utfärdade certifikat flaggade som otillförlitliga.

Framtida förslag från CA/Browser Forum

Eftersom tekniken förändras snabbt blickar CA/B Forum alltid framåt för att säkerställa att det befintliga systemet förblir en stark del av onlineförtroendet. Detta innebär inte bara att reagera på nya hot utan också att proaktivt överväga hur utvecklande tekniker kan förändra processen genom vilken certifikat utfärdas, valideras och hanteras. De säkerställer också att baskraven hålls i linje med förändrade regler och bästa praxis i branschen.

Följande är de föreslagna förslagen för framtida implementering:

• Strängare återkallelsekrav (föreslagen april 2024)

  För närvarande kan certifikat endast återkallas om den privata nyckeln som är kopplad till dem är komprometterad, men den föreslagna uppdateringen utökar möjligheten att självåterkalla certifikat som används för att signera misstänkta program. Genom att omedelbart återkalla sådana certifikat hjälper CA/B-forumet till att förhindra att dessa skadliga program installeras och körs.

• Obligatoriska revisioner (föreslagen juni 2024)

  Revision fungerar som en oberoende säkerhetsinspektion eftersom den bekräftar att dessa signeringstjänster uppfyller de senaste säkerhetsstandarderna som fastställts av CA/B Forum. Detta hjälper till att identifiera eventuella brister eller sårbarheter i kodsigneringsoperationen. Genom att åtgärda dessa sårbarheter snabbt hjälper CA/B Forum till att minska risk för komprometterade certifikat eller andra säkerhetsintrång i kodsigneringsprocessen.

Slutsats

Det är viktigt att ligga steget före CA/B Forums ständigt växande säkerhet för att säkerställa integriteten hos kodsigneringscertifikaten. Encryption Consultings CodeSign Secure lösningen hjälper dig med FIPS 140-2 nivå 3 HSM efterlevnad, enligt CA/Browser Forums specifikation av baskrav från och med 1 juni 2023.

Utöver CodeSign Secure-lösningen, vår HSM-som-en-tjänst är FIPS 140-2 nivå 3-validerad hårdvara, vilket ger fullständig täckning för organisationer som söker ännu högre säkerhet. Våra lösningar och tjänster säkerställer att kodsigneringsprocessen flyter enligt de senaste bästa praxisen och CA/B Forum-specifikationerna i ett säkert, förtroendeorienterat och användarcentrerat programvarulandskap.