Tous les certificats Code Signing sur le token. Qu'est-ce que cela signifie ?

5 août 2022 | Jindřich Zechmeister

À partir de juin 2023, les exigences des certificats de signature de code OV changent. Les clés privées des certificats Code Signing OV seront stockées sur les matériels certifiés (tokens USB). Qu'est-ce que cela signifie pour les utilisateurs et quelles sont les options disponibles ?

Qu'est-ce que cela signifie pour les utilisateurs ?

Tous les certificats Code Signing émis après le 15/11/2022 01/06/2023 seront stockés sur un token et distribués par courrier. Le token est nécessaire pour la signature de code et sécurisé par un mot de passe.

Tous les nouveaux certificats Code Signing commandés après cette date seront stockés sur un token USB et envoyés par courrier. Le mot de passe pour déverrouiller le token sera affiché dans votre espace client.

L'utilisation du token offre un moindre confort d'utilisation, mais assure une plus grande sécurité : il ne permet pas d'exporter la clé privée du certificat, et il n'est pas possible de créer un fichier PFX comme avant. Nous développons ce sujet ci-après.

Renouvelez votre certificat pour 3 ans et reportez le changement

Si le changement ne vous plait pas, nous avons un conseil. Renouvelez votre certificat Code Signing ou en achetez un nouveau pour une durée de validité maximale de 3 ans. Vous pourrez créer un fichier .pfx et utiliser le certificat comme avant pendant les 3 prochaines années.

Vous pouvez économiser en achetant un certificat pour 2-3 années ; le prix annuel du certificat sera automatiquement réduit. Mais attention, il est important de ne pas perdre la clé privée, en cas de réémission, le certificat sera délivré sur le token.

Y a-t-il une possibilité de signer sans token ?

L'utilisation du certificat sur un token est sécurisée, mais moins pratique. Le token demande un mot de passe à chaque lancement et cela empêche automatiser la signature. Si vous aimeriez bien utiliser les principes CI/CD, c'est un problème.

Pour répondre à ce besoin, il existe une solution. Il s'appelle Secure Software Manager et fait partie de la plate-forme DigiCert ONE. Si vous êtes notre client, nous vous aiderons à l'utiliser.

Digicert Secure Software Manager utilise ce qu'on appelle la signature par hachage ("hash signing"). La signature est effectuée dans le cloud DigiCert, où se trouve le certificat avec la clé privée. Lors de la signature, seul le hachage (une empreinte du fichier) signé est envoyé vers le cloud. L'utilitaire de signature l'ajoute à l'application signée. La communication avec le cloud de Digicert s'effectue via les bibliothèques préparées par DigiCert ; toutes les plates-formes sont prises en charge.

La signature dans le cloud est la solution de l'avenir. La signature est plus sécurisée, plus rapide et les fichiers signés ne sont pas envoyés par internet. Vous avez un contrôle total sur les paires de clés et toutes les opérations sont soigneusement enregistrées.