1. 首页
2. 新闻资讯
3. 安全资讯
4. 从11月15日开始，OV代码签名证书需要在安全令牌上签发

从11月15日开始，OV代码签名证书需要在安全令牌上签发

发布日期：2022-09-27

近期，CA/B论坛对普通（OV）代码签名证书的私钥存储方式做出了变更要求：证书密钥对必须在达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。
1
变更详情内容有哪些？
变更前：对于普通代码签名证书，上海CA获取到用户的CSR和私钥后，对用户的CSR进行数字签名后生成证书，再通过邮件的方式将证书发送给用户，无需硬件介质。EV代码签名证书则需要安全硬件介质。

变更后：自2022年11月15日起，购买普通代码签名证书将和EV代码签名证书一样，证书由上海CA签发并存储在预配置的USB Key上，再通过邮寄的方式将Key寄送给用户。
2
哪些证书会受到此次变更的影响？

此次规则更新影响重新签发或续费的代码签名证书，但不影响在11月15日前签发的代码签名证书。
3
变更后，硬件存储介质有哪些？
USB Key：上海CA要求使用特定的USB Key来存储代码签名证书和私钥，即支持4096位RSA的USB Key。

硬件安全模块HSM：用户可以使用自有的硬件安全硬件模块来存储证书和私钥，但需要向上海CA证明使用的设备符合要求，必须达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准，且支持密钥长度达到或超过3072位RSA加密算法。

代码签名服务和应用程序：用户不需任何物理设备或硬件令牌，只需要将证书和私钥存储在安全应用程序上。

近年来，由私钥泄漏导致的网络安全事件频发。例如2019年5月，三星SmartThings敏感的源代码、证书和密钥一起泄露，包含了iOS和Android应用的私有证书。此类泄漏事件也引起了微软等国际巨头的充分重视。
新规执行开始后，OV代码签名证书也将从“软证书”变为“硬证书”，其目的就是为了加强代码签名证书私钥的保护，有助于降低私钥泄漏的可能性。
代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告，保证代码完整性和不被恶意篡改，使软件开发者信息对下载用户公开可见，从而建立良好的软件品牌信誉度。

上一篇：SSL证书最多可以使用多长时间

下一篇：免费SSL证书和付费SSL证书的区别

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• SSL/TLS、SSH 加密协议对于保护数据和通信至关重要
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• SSL证书对网站安全性有影响吗