Code Signing certifikáty na tokenu? S námi v klidu a s tokenem zdarma
11. 5. 2023 | Jindřich Zechmeister
Code Signing certifikáty mohou být nově pouze na tokenu či HSM. Už nebude možné uložit je lokálně do počítače, například v oblíbeném formátu PFX souboru. Přechod na token vám chceme maximálně zjednodušit, proto ho u víceletých objednávek obdržíte zdarma a certifikát vám na token v každém případě připravíme.
Co se mění a odkdy?
Od 16. 5. 2023 musí být všechny Code Signing certifikáty vydané na bezpečném úložišti – tak jako EV Code Signing. Úložištěm, které lze využít, je token či HSM. Token musí splňovat certifikaci FIPS 140-2 Level 2 či Common Criteria EAL 4+. Tato změna je platná pro celé odvětví, tudíž i pro všechny certifikační autority. Všichni musí na tyto pravidla přistoupit a dodržovat je.
Všichni majitelé a uživatelé Code Signing certifikátů tedy budou muset mít svůj certifikát na tokenu, což byla dosud výsada a výhoda pouze Code Signing EV certifikátů.
Při víceleté objednávce získáte token zdarma
My jsme pro naše zákazníky tento problém vyřešili pro ně nejkomfortnějším způsobem – budeme jim dodávat token s již nainstalovaným certifikátem. Při objednání Code Signing certifikátu na 2 či 3 roky dostanete token v ceně 120 USD zdarma.
Doporučujeme vám proto zakoupit Code Signing certifikát na více let a využít nabídku získat token zdarma. Budete mít certifikát vyřešen bez starostí a na více let dopředu. Pro prodloužení certifikátu vám znovu poslouží token, který už budete mít od nás.
Token od nás dostanete do 1-2 dnů od vydání certifikátu a po doručení tokenu můžete okamžitě začít podepisovat. Budete k tomu potřebovat pouze heslo, která vám bezpečně dodáme.
Nemusíte se změny bát, podepisování zůstane jednoduché
Samotný způsob podepisování se s tokenem prakticky nemění. Pouze se budete místo PFX souboru či úložiště odkazovat na úložiště tokenu. Certifikát je sice uložen na tokenu, ale díky aplikaci Safenet je "vidět" v úložišti certifikátů systému stejně, jako by tam fyzicky byl. Podepisování tedy nebude nikterak složitější.
Níže vidíte příklad, jak se volá certifikát na tokenu (podepisování probíhá pomocí nástroje signtool z Windows SDK). Místo souboru odkazujete pomocí parametru /s na úložiště:
signtool sign /s my /t http://timestamp.verisign.com/scripts/timestamp.dll C:pracetest.exe
Podepisování zůstává stále jednoduché. Pokud pro podpis vybíráte certifikát ze seznamu (dialog systému), tak tam bude certifikát na tokenu rovněž vidět.
Co dělat, když nechci token?
Můžete mít různé důvody, proč nechtít certifikát na tokenu. Nejčastější scénář je podepisování aplikace více vývojáři v týmu, kteří by měli mít certifikáty své, nebo si token půjčovat. To je poměrně nepraktické, řešení ale existují. Uveďme alespoň dva příklady za všechny.
Jednou z možností je koupě HSM a bezpečné uložení tokenu na tomto hardwarovém prostředku. To však s sebou nese nemalou investici, která může být v tisících dolarů. Moderním způsobem řešení tohoto problému je podepisování pomocí bezpečného cloudu certifikační autority. Takovou službu nabízí platforma DigiCert ONE a nazývá se Software Trust Manager.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz