Certificats Code Signing obligatoirement sur un matériel certifié
11 mai 2023 | Jindřich Zechmeister
Les certificats Code Signing seront obligatoirement stockés et installés sur des matériels certifiés. Il ne sera plus possible d'émettre un certificat Code Signing sans token et de le stocker dans un fichier .pfx.
Que change-t-il et partir de quand ?
À partir du 16 mai 2023, tous les certificats Code Signing seront obligatoirement stockés et installés sur des matériels certifiés - tokens ou HSM. Le token doit être certifié au moins FIPS 140-2 niveau 2 ou Critères communs EAL 4+. Ce changement affecte toute l'industrie et toutes les autorités de certification.
Tous les propriétaires et utilisateurs de certificats Code Signing devront stocker leur certificat COde Signing sur le Token USB ce qui jusqu'à présent était "le privilège" des certificats Code Signing EV certificats Code Signing EV.
La signature reste simple
La méthode de signature reste simple. Au lieu de se référer au fichier .pfx, vous allez sélectionner un stockage (token usb). Bien que le certificat soit stocké sur le token, grâce à l'application Safenet, il est "visible" dans le magasin de certificats du système comme s'il s'y trouvait physiquement. La signature ne sera donc pas plus compliquée.
Voici un exemple d'appel d'un certificat sur un token (la signature est réalisée à l'aide de l'outil signtool du Windows SDK). Au lieu de fichier .pfx, vous devez vous référer au stockage avec le paramètre /s:
signtool sign /s my /t http://timestamp.verisign.com/scripts/timestamp.dll C:travailtest.exe
Lors de la signature, vous devez sélectionner un certificat de signature dans la liste des certificats (boîte de dialogue). Votre certificat sur le token se trouvera dans la liste.
Si je refuse d'utiliser le token ?
Les raisons pour lesquelles vous n'acceptez pas de certificat sur le token peuvent être variées. Par exemple, vous avez besoin de signer vos applications par plusieurs développeurs et le fait que vous allez devoir emprunter le token dans toute l'équipe vous décourage. Heureusement, les solutions existent.
Pour stocker votre token en sécurité, vous pouvez acheter un HSM. L'achat d'un matériel de sécurité (HSM) représente un investissement qui peut se chiffrer en milliers de dollars. Une autre solution consiste à signer depuis le Cloud sécurisé de l'autorité de certification. La solution proposée par la plateforme DigiCert ONE s'appelle Software Trust Manager.
