OV kod imzalama sertifikaları ve anahtar oluşturma yöntemleri elden geçiriliyor. EV kod imzalama sertifikalarının şu anda nasıl verildiğine benzer bir süreçte fiziksel güvenlik donanımında yayınlanacaklar. Bu değişikliğin kuruluşunuz için ne anlama geldiğini keşfedin.

Bu yılın başlarında NVIDIA , kötü adamlar kuruluşunuzun en hassas dijital varlıklarından bazılarını ele geçirdiğinde neler olduğunu deneyimledi : kod imzalama sertifikaları. Siber suçlular, bu çalınan sertifikaları kötü amaçlı yazılımlarını imzalamak için kullandı. Amaç? Kötü amaçlı yazılım programlarının yasal olarak grafik işlemci şirketinden geldiği gibi görünmesini sağlamak için.
Bu tür saldırıları önlemek için CA/B Forumu, kod imzalama sertifikaları için düzenleme ve yükleme işleminde bazı değişiklikler yapmak için oy kullandı. Ancak bu değişiklikler işletmeniz ve kod imzalama işlemleriniz için ne anlama geliyor?
Hadi çözelim.
Bilmeniz Gerekenler (OV Kod İmzalama Sertifikası Değişikliklerine Genel Bir Bakış)

Sertifika yetkilileri (CA'lar) tarafından hala hash edildikleri için tüm ayrıntılara çok fazla dalmayacağız . Buradaki amacımız, önümüzdeki aylarda neler beklemeniz gerektiğine dair size hızlı bir genel bakış sunmaktır. Birkaç ay içinde, CA'lardan daha fazla bilgi edindikten sonra ayrıntılar hakkında daha fazla konuşacak başka blog gönderileri yayınlayacağız.

Değişiklik Ortaya Çıktığında Ne Olacak?


15 Kasım'dan itibaren, yeni ve yeniden yayınlanan, genel olarak güvenilen kuruluş doğrulaması (OV) ve bireysel doğrulama (IV) kod imzalama sertifikalarının , veren sertifika yetkilisi (CA) tarafından önceden yapılandırılmış güvenli donanımda yayınlanması veya saklanması gerekecektir. Bu, özellikle FIPS 140-2 Düzey 2, Common Criteria EAL 4+ (veya eşdeğeri) uyumlu cihazları veya aşağıdakiler gibi imzalama çözümlerini (minimum olarak) içerir:
  • Donanım güvenlik modülleri (HSM'ler), bulut veya fiziksel cihazlar
  • USB donanım aygıtları gibi fiziksel güvenlik belirteçleri
  • Anahtar depolama ve imzalama hizmetleri
Not: FIPS, Federal Bilgi İşleme Standartları'nın (FIPS) kısaltmasıdır. Birkaç dakika içinde FIPS uyumlu cihazlar hakkında daha fazla konuşacağız.
Pratik olarak konuşursak, bu, tüm kod imzalama sertifikalarının günümüzdeki EV kod imzalama sertifikalarına benzer bir şekilde teslim edileceği anlamına gelir - müşteriye bir USB cihazında gönderilir, müşterinin donanım güvenlik modülüne (HSM) teslim edilir, vb. ( Bireysel CA'lar bunları duyurduktan sonra tüm bunların nasıl işleyeceğiyle ilgili belirli ayrıntıları paylaşacağız.)
Ancak önemli bir paket, tüm bu teknik işler CA tarafından ele alınacağından, artık sertifika imzalama isteklerini (CSR'ler) kendiniz tamamlamanız gerekmeyecek olmasıdır.

Bu Değişiklikler Neden Meydana Geliyor?


Bu değişiklikler , Kod İmzalamanın Verilmesi ve Yönetimi için CA/Tarayıcı Forumu (CA/B Forumu) Temel Gereksinimlerinde (BR) ana hatlarıyla belirtilmiştir (sürüm 2.8). Temel gereksinimlerin önceki sürümüne (v. 2.7) uygulanan Ballot CSC-13 — Abone Anahtar Koruma Gereksinimleri Güncellemesi aracılığıyla güncellendi . Buradaki fikir, sertifikaların özel anahtarlarını, genişletilmiş doğrulama (EV) kod imzalama sertifikalarında olduğu kadar güvenli hale getirmektir.
Bunu başarmak için, kötü adamların (ve diğer yetkisiz kullanıcıların) ellerinden uzak tutmak için anahtarların güvenli bir şekilde saklanması gerektiği anlamına gelir. Kod imzalama sertifikalarının BR (sürüm 2.8) 16.3.1 Abone Özel Anahtar Koruması bölümüne göre:
“CA, Abonenin Kod İmzalama Sertifikası Özel Anahtarlarını bir Donanım Kripto Modülünde en az FIPS 140'a uygun olarak onaylanmış bir birim tasarım form faktörü ile oluşturmak ve korumak için aşağıdaki seçeneklerden birini kullanacağına dair Aboneden sözleşmeye dayalı bir beyan almalıdır. -2 Düzey 2 veya Ortak Kriterler EAL 4+”

Resmi Değişiklik Ne Zaman Gerçekleşecek?


Değişiklik, 15 Kasım 2022 Salı günü, Eşgüdümlü Evrensel Saat (UTC) ile 12:00'de gerçekleşecektir — bu , ABD'li okuyucularımız için 14 Kasım 2022 Pazartesi, Doğu Standart Saati (EST) ile 19:00'dır . Ancak, bazı sertifika yetkililerinin (DigiCert, Sectigo, vb.) CA/B Forum'un resmi son teslim tarihinden önce herhangi bir sorunu çözmek için zaman olduğundan emin olmak için değişikliği programdan önce uygulamayı seçebileceğini belirtmek önemlidir!
CA'lar planlarını tamamladığında daha fazla ayrıntı paylaşacağız.

Bu Değişikliklerden Kimler Etkilenecek


Sektör genelindeki bu yetki, Kasım'da kullanıma sunulduğunda veya sonrasında yeni OV kod imzalama sertifikaları satın alan herkesi etkileyecektir. (Bu aynı zamanda mevcut sertifikalarını yeniden yayınlayan veya yenileyen mevcut OV kodu imzalama sertifikası sahiplerini de etkileyebilir.) IV kod imzalama sertifikasına sahip bireysel bir geliştiriciyseniz ne olacak? Evet, bu değişiklik sizi de etkileyecek.
Ancak, resmi değişiklikten önce verilmiş geçerli bir kod imzalama sertifikanız varsa, bu değişikliğin sizi aynı şekilde etkilemeyeceğini unutmamak önemlidir. Elbette, CA'nın anahtarlarınızı aynı yöntemlerden birinde saklamanızı tavsiye etmesi gerekecektir. Ancak yine de her zaman yaptığınız gibi yazılımınızı ve diğer yürütülebilir dosyaları imzalamaya devam edebilirsiniz.
Kasım tarihinden önce mevcut sertifika sahiplerinin, anahtarlarını oluşturmak ve korumak için güvenli bir yöntem (güvenilir platform modülü, donanım şifreleme modülü veya bir donanım güvenlik belirteci) kullanacaklarını CA'larına onaylamaları gerekir. Kasım ayında kullanıma sunulduktan sonra, sertifika sahipleri anahtarlarını güvenli bir şekilde saklamak için aşağıdakilerden birini kullanacaklarını onaylamalıdır:
  • Bir HSM veya donanım güvenlik belirteci
  • Bulut tabanlı bir anahtar oluşturma ve koruma çözümü
  • CA/B Forumunun Temel Gereksinimleri bölüm 16.2'de belirtilen gereksinimleri karşılayan bir imzalama hizmeti
Neden Kod İmzalama Sertifikanızı ve Önemli Konuları Güvende Tutmalısınız?

Kod imzalama, sizin veya kuruluşunuzun kodunuz, yazılımınız veya diğer yürütülebilir dosyalarınız için kuruluşunuzun dijital kimliğini doğrulamanın bir yoludur. "Your Company, Inc."i görmek arasındaki fark budur. Windows Kullanıcı Hesabı Denetimi açılır alanında “Yayıncı: Bilinmeyen” uyarı mesajlarına karşı. Kimse yazılımınızı indirmeye veya yüklemeye çalıştığında ikincisinin görüntülenmesini istemez.
Kullanıcılar imzasız (solda) ve dijital olarak imzalanmış (sağda) yazılım programlarını yüklemeye çalıştıklarında nasıl göründüğünü gösteren yan yana karşılaştırma ekran görüntüsü. Soldaki mesaj yayıncının bilinmediğini, sağdaki dijital olarak imzalanmış sertifika mesajı ise doğrulanmış yayıncının Microsoft şirketi olduğunu gösterir.İnsanların yazılımınızın orijinal olduğuna güvenmelerini ve satın alma adamlarının onunla uğraşmamasını istiyorsanız, bu çirkin uyarıların görüntülenmesi iyi bir görünüm değildir. Birini kullanmamak, şirket adınızın ve logonuzun yanına “Güvenilir değilim” yazan yanıp sönen bir neon tabela asmak gibidir. Yazılımınızı dijital olarak imzalamak, kuruluşunuzun kimliğini yazılımınıza ekler ve kullanıcıların orijinal olduğunu ve imzalandığından beri güvenliğinin ihlal edilmediğini bilmelerini sağlar.
Dijital olarak imzalanmış bir yürütülebilir dosyayı incelediğinizde nasıl göründüğüne bir örnek.Anahtarınızı güvenli bir şekilde saklamayarak, kötü adamların sizin adınıza kötü amaçlı yazılımları imzalamak ve dağıtmak için kullanması durumunda sertifikanızın güvenilmez hale gelmesi ve kuruluşunuz için bir sorumluluk riski taşırsınız.
15 Kasım'dan Sonra Nasıl Kod İmzalama Sertifikası Sipariş Edebilirim?

Bu harika bir soru - dürüst olmak gerekirse, son detayları kendimiz için bekliyoruz. Her CA'nın kendi OV kodu imzalama sertifikası süreci olacaktır. Bu değişikliklerin tam olarak nasıl çalışacağı ve sizin için ne anlama geleceği, her bir CA'ya bağlı olacaktır. Çoğu müşteri için, her bir CA, EV kod imzalama sertifikaları için mevcut sürece çok benzeyen basitleştirilmiş bir sipariş süreci sağlayacaktır.
Bildiğimiz şey, bu değişikliklerin büyük olasılıkla, CA'nız tarafından verilen veya zaten sahip olduğunuz ve minimum olarak FIPS 140 Düzey 2, Ortak Kriterler EAL 4+ uyumluluk gereksinimlerini karşılayan bir donanım güvenlik belirteci kullanmayı gerektireceğidir. Biz daha fazlasını öğrendikten sonra, siz de öğreneceksiniz. Bu nedenle, son teslim tarihine yaklaştıkça gelecekteki bir takip makalesi için bizi izlemeye devam edin.
İleri düzey kullanıcılar için sertifikalarınızı ve anahtarlarınızı sağlamak için üç seçeneğiniz vardır:

1. USB Jetonları


Donanım güvenlik belirteçleri, genellikle kuruluşlardaki bireysel kullanıcılara atanan küçük ve kullanışlı cihazlardır. Bunları kendiniz satın alabilir veya sertifika yetkilisine, halihazırda yüklü olan kod imzalama sertifikanızı göndermesini sağlayabilirsiniz. Örneğin, DigiCert şu anda EV kodu imzalama sertifikalarının özel anahtarlarını depolamak için belirli bir güvenlik donanımı belirtecinin kullanılmasını gerektirir: SafeNet eToken 5110 CC (RSA 4096-bit anahtar ve ECC P-256-bit anahtar). Bu özel cihaz, CA/B Forumu tarafından belirtilen minimum gereksinimleri aşmaktadır — FIPS 140-2 Düzey 3, CC EAL5+'ı destekler.
Kullanabileceğiniz bir diğer isteğe bağlı jeton, Thales tarafından bu yaz piyasaya sürülecek olan yeni bir jeton olan SafeNet eToken 5110+ FIPS'dir.
Elbette her CA, hangi jetonları kullanacağını seçebilir. Çoğu müşteri, CA tarafından sağlanan bir USB belirteci kullanmanın en kolay ve en basit seçenek olduğunu görecektir. Bu nedenle, kullanıma sunma son tarihine yaklaştıkça gelecekte bunların hepsine daha fazla gireceğiz.

2. Donanım Güvenlik Modülleri


Özel anahtarlarınızı depolamak için donanım güvenlik modülü yoluna gitmeye karar verirseniz, son teknolojiye sahip bir cihaz kullandığınızı kanıtlamanız gerekir. Örneğin, cihazı gösteren bir tasdik mektubu sağlamanız gerekebilir:
  • FIPS 140 Düzey 2 veya Common Criteria EAL4+ (CCE 4+) minimum düzeyde uyumlu mu ve
  • 256 bit veya daha büyük veya RSA 3072 bit veya daha büyük ECC anahtar boyutunu destekler.
Her iki fiziksel güvenlik cihazı yöntemiyle de, kodu imzalamak için sertifikayı kullanmadan önce sistemlerinizi kuruluşunuzun donanım güvenlik modülüne (HSM) bağlamanız veya cihazınıza bir fiziksel güvenlik belirteci takmanız gerekir. Bu, cihazda güvenli bir şekilde saklanan imzalama için özel anahtarınıza erişmenizi sağlar. Ek bir güvenlik katmanının yanı sıra benzersiz şifrenizi de girmeniz gerekecektir.
Ancak herhangi bir fiziksel cihazı veya donanım belirteçlerini yönetmenizi ve güvenceye almanızı gerektirmeyen üçüncü bir seçenek daha var…

3. Kod İmzalama Hizmetleri ve Uygulamaları


Kullanmayı seçebileceğiniz başka bir güvenli anahtar depolama seçeneği , DigiCert ONE platformunun bir parçası olan DigiCert'in Güvenli Yazılım Yöneticisi (SSM) gibi bir imzalama çözümüdür. Bu yazılım, yetkili kullanıcıların özel anahtarlara fiziksel erişim gerektirmeden güvenli bir şekilde saklamasını ve kullanmasını sağlar. Bu, çalışanlarınızın zarar görebilecek, kaybolabilecek veya çalınabilecek bir dizi bireysel fiziksel güvenlik belirtecini yönetme konusunda endişelenmenize gerek kalmadan işlerine devam edebilecekleri anlamına gelir.
TAKİPTE KALIN: Kasım değişikliğinden sonra EASY4SSL'den yeni bir OV kod imzalama sertifikaları sipariş ederken tüm bu süreçlerin nasıl çalışacağı hakkında daha fazla ayrıntı arıyorsanız, bizi izlemeye devam edin. Bu değişikliklerin kullanıma sunulacağı tarihe yaklaştıkça başka bir güncelleme yayınlayacağız.
— OV Kod İmzalama Sertifikasında Yapılacak Değişikliklere Hızlı Bir Bakış

Pekala, bu çok fazla bilgi içeriyordu. Veya bazı okuyucularımız gibiyseniz, okumaya zahmet etmemiş ve bunun yerine doğrudan bu bölüme atlamış olabilirsiniz. Size ihtiyacınız olan bilgiyi verdiğimiz sürece her iki şekilde de iyidir! İşte bilmeniz gereken önemli noktalar:
  • CA/B Forumu, standart (OV) kod imzalama sertifikalarının nasıl düzenleneceğine ve saklanacağına ilişkin yeni sektör gereksinimleri yayınladı ve özel anahtarlar 15 Kasım 2022 saat 12:00'de (Kuzey için 14 Kasım saat 19:00'da EST) kullanıma sunulacak. Amerikalı kullanıcılar).
  • Bu değişiklikler, yeni ve yeniden yayınlanan kurumsal doğrulama (ve bireysel doğrulama) kod imzalama sertifikalarının ve bunlara karşılık gelen özel anahtarların nasıl oluşturulacağını, saklanacağını, kurulacağını, yenileneceğini ve yeniden yayınlanacağını etkiler.
  • Sertifika veren yetkililer, arka uçta sertifika ve anahtar oluşturma işlemlerini halledecektir; kod imzalama sertifikanızı almak için artık bir sertifika imzalama isteğini (CSR) kendiniz tamamlamanız gerekmeyecek.
  • Sertifika talep edenlerin (yani sizin), kod imzalama sertifikalarını ve özel anahtarları depolamak için minimum olarak FIPS 140 Düzey 2/EAL 4+ uyumlu güvenli donanım şifreleme modüllerini veya imzalama hizmetlerini kullanmanız gerekecektir.

https://www.easy4ssl.com/blog/15-kas...-degisiklikler