Certificats Code Signing obligatoirement sur un matériel certifié
11 mai 2023 | Jindřich Zechmeister
Les certificats Code Signing seront obligatoirement stockés et installés sur des matériels certifiés. Il ne sera plus possible d'émettre un certificat Code Signing sans token et de le stocker dans un fichier .pfx.
Que change-t-il et partir de quand ?
À partir du 16 mai 2023, tous les certificats Code Signing seront obligatoirement stockés et installés sur des matériels certifiés - tokens ou HSM. Le token doit être certifié au moins FIPS 140-2 niveau 2 ou Critères communs EAL 4+. Ce changement affecte toute l'industrie et toutes les autorités de certification.
Tous les propriétaires et utilisateurs de certificats Code Signing devront stocker leur certificat Code Signing sur le Token USB ce qui jusqu'à présent était "le privilège" des certificats Code Signing EV certificats Code Signing EV.
La signature reste simple
La méthode de signature reste simple. Au lieu de se référer au fichier .pfx, vous allez sélectionner un stockage (token usb). Bien que le certificat soit stocké sur le token, grâce à l'application Safenet, il est "visible" dans le magasin de certificats du système comme s'il s'y trouvait physiquement. La signature ne sera donc pas plus compliquée.
Voici un exemple d'appel d'un certificat sur un token (la signature est réalisée à l'aide de l'outil signtool du Windows SDK). Au lieu de fichier .pfx, vous devez vous référer au stockage avec le paramètre /s:
signtool sign /s my /t http://timestamp.verisign.com/scripts/timestamp.dll C:travailtest.exe
Lors de la signature, vous devez sélectionner un certificat de signature dans la liste des certificats (boîte de dialogue). Votre certificat sur le token se trouvera dans la liste.
Je refuse le token
Si vous n'acceptez pas ce token USB, vous pouvez envisager d'investir dans des solutions cloud. Les raisons peuvent être variées : plusieurs collaborateurs ont besoin de signer les exécutables et vous n'avez pas envie d'emprunter le token dans toute l'équipe.
Pour stocker votre token en sécurité, vous pouvez acheter un module matériel de sécurité (HSM). L'achat de ce type de matériel représente un investissement qui peut se chiffrer en milliers de dollars. C'est possible, mais nous vous conseillons plutôt de signer depuis le cloud sécurisé de l'autorité de certification. La plateforme unifiée DigiCert ONE offre une solution qui s'appelle Software Trust Manager.