Od 1. června 2023 budou všechny komerční certifikační autority vydávat nebo ukládat nové a obnovované CODE certifikáty na zařízení splňující FIPS 140-2 Level 2, Common Criteria EAL 4+ (nebo ekvivalentní). Změna se týká všech CODE signing certifikátů, tedy firemních, individuálních i open source.
Přesné informace a požadavky na CODE certifikáty jsou publikovány na stránkách CA/B fóra:
- Baseline Requirements (Code Signing) v aktuální verzi Baseline Requirements for the Issuance and Management of Publicly‐Trusted Code Signing Certificates.
Nové CODE certifikáty bude možné získat na:
- Hardwarové bezpečnostní moduly (HSM) – cloudové nebo fyzické zařízení
- Tokeny fyzického zabezpečení, jako jsou hardwarová USB zařízení
- Služby úložiště klíčů a podepisování
Prakticky to bude znamenat, že všechny certifikáty pro podepisování kódu budou doručovány podobným způsobem, jakým jsou dnes řešeny EV CODE certifikáty. Ty jsou odesílány zákazníkovi na USB tokenu či generovány do zákaznického hardwarového bezpečnostního modulu (HSM) atd. Již tedy nebude docházet ke generování klíčů u zákazníka nebo ve starém Internet Exploreru, jak to bylo doposud. Vše bude řešeno na straně certifikační autority.
Známé certifikační autority na změnu reagují různě. CS DigiCert a CA Certum budou přijímat objednávky standardním způsobem ještě do cca 24. května. oproti tomu certifikační autorita SECTIGO bude nabízet „po staru“ CODE certifikáty pouze do konce dubna. Navíc zcela mění ceník CODE certifikátů a opravdu výrazně zdražuje.
Prodlužte si CODE certifikát ještě před změnou
Pokud vám brzy expiruje váš CODE certifikát, můžete si jej ještě nyní na stránkách SSLmentor prodloužit za stávajících podmínek až na 3 roky a pracovat s ním tak, jak jste doposud zvyklí. Tedy pravděpodobně máte CODE certifikát vyexportovaný v PFX souboru a případně distribuovaný v týmu nebo někde uložený na centrálním bezpečném místě.
Výhodou obnovení CODE certifikátu na 3 roky je také lepší poměrná cena na rok, a můžete tak výrazně ušetřit.