Stockage du certificat Code Signing EV

Les certificats Code Signing EV sont stockés sur les périphériques sécurisés (token USB, HSM). Le token USB doit être protégé par un mot de passe. La clé est générée directement sur le matériel, pour que l'exportation du certificat soit impossible. Voyons les possibilités de stockage des certificats Code Signing EV.

Stockage sur un token USB

Les certificats Code Signing EV sont le plus souvent stockés sur les tokens USB. Actuellement, les autorités de certification acceptent le model SafeNet 5110. Il permet de stocker d'autres certificats et garantit la protection de la clé privée.

Les clés privées sont également stockées sur les tokens USB et ne peuvent pas être exportées. Pour utiliser le certificat, vous devez déverrouiller le périphérique à l'aide du mot de passe. Si vous entrez un mot de passe incorrect 10 fois de suite, le token sera bloqué et deviendra inutilisable. Les attaques visant à deviner le mot de passe sont donc exclues.

Pour en savoir plus sur le matériel, la fiche technique est à votre disposition sur le site web du fabricant ou dans la fiche produit.

Stockage sur un HSM (Hardware Security Module)

Vous pouvez installer votre certificat Code Signing EV un périphérique HSM. C'est un dispositif informatique qui protège et gère les clés numériques, exécute des fonctions de chiffrement et de déchiffrement cryptographiques ou autres informations sécurisées (Wikipedia). Un HSM fonctionne comme un serveur et ressemble souvent à l'unité de rack.

Si votre entreprise dispose de ce matériel spécialisé, vous pouvez l'utiliser pour stocker vos certificats Code Signing (et bien sûr d'autres certificats) au lieu d'un token USB ; cela peut vous simplifier (ou automatiser) le processus de signature.

Lors de la commande, vous pouvez choisir l'option Enregistrement sur HSM DigiCert CS EV. Si vous choisissez cette option, l'AC DigiCert voudra prouver que vous disposez bien d'un périphérique sécurisé et audité.