Senest opdateret 9 marts 2023. GlobalSign og Sectigo sætter sidste chance for udstedelse uden fysisk sikring til 23. April 2023.
Deadline for skift til fysisk sikring er flyttet fra 15. November 2022 til senest 1. Juni 2023.
CodeSign certifikater udstedes med to niveauer af validering Organisation Validation “OV” og med lidt højere krav Extended Validation “EV” som har følgende forskelle i forhold til OV:
- Højere krav til validering af virksomheden.
- Øget boost i tillid i Microsoft’s SmartScreen download filter.
- Krav om at udstederen sikrer at certifikatets privatnøgle sikres fysisk fx med USB Crypto Nøgle eller netværks HSM,
som skal overholde FIPS 140-2 level 2 eller Common Criteria EAL 4+ standarden.
En detalje mange overser med standard/OV CodeSign, er at nøglen stadig skal sikres og det blot er brugerens ansvar i stedet for udstederens, derfor får man betingelser man accepterer som siger at man skal sikre nøglen imod kopiering/tyveri.
Fordi de fleste ignorerer denne detalje er det også normal praksis at OV CodeSign certifikatet bruges som et certifikat der kan kopieres og installeres flere steder, typisk uden nogen sikring af nøglerne.
Microsoft har derfor fremsat et forslag om at ændre så kravene til nøglen og dens fysiske sikring for EV også skal gælde for OV CodeSign. Deres oprindelige forslag var fremsat den 5. Maj 2022 og støttet af DigiCert og Entrust. Forslaget blev vedtaget ved afstemning og skulle gå i kraft ikke senere end den 15. November 2022. Den 27. September fremsætter Microsoft et forslag om at flytte start datoen for kravet til 1. Juni 2023, med begrundelsen af der bør være mindst et års advarsel inden det træder i kraft, forslaget bliver vedtaget.
Der er nu en deadline den 1. Juni 2023, hvor det inden den ikke længere vil være muligt at udstede CodeSign OV certifikater uden at der laves en fysisk sikring af nøglerne.
Det betyder bl.a.:
- Ved fornyelse skal de fleste først vente på at modtage en USB Crypto Dongle fx en Thales SafeNet 5110 cc. Det kan give uventede forsinkelser i fornyelsen.
- Der er og kan være mangel på USB kryptoenheder som gør det svært at overhovedet få en nøgle det kan installeres på. De fleste enheder understøtter kun 2048 bit RSA nøgler i dag og kræver en større processer for at kunne håndtere de astronomisk større nøgler (3072 bit RSA) som i dag kræves af CodeSign.
- Der er flere som i dag bruger CodeSign på flere maskiner eller i automatiske processer fx i udviklings “pipelines” som automatisk signerer. Det kan blive svært eller umuligt at få dem til at virke i deres nuværende opsætning.
- Det kan blive nødvendigt at bruge online CodeSign løsninger, netværks HSM, cloud baserede løsninger som Azure KeyVault (Premium) for at udføre de samme processer som i dag.
- CodeSign OV certifikater der er udstedt inden den 1. Juni 2023, vil fortsat virke indtil udløb (fx 3 år), men kan ikke genudstedes uden fysisk sikring.
Vi anbefaler følgende:
- Hvis det er vigtigt at kunne få certifikatet uden fysisk sikring af nøglen, fx. fordi det bruges flere steder, udsted et 3 års certifikat senest i Maj 2023.
Vi kan hjælpe hvis der er længere tid tilbage på et nuværende certifikat. - Forsøg så vidt muligt at sikre nøglerne uanset om det er et krav, brug for eksempel en TPM chip.
- Overvej at bruge online løsninger som Azure KeyVault (Premium) eller AWS KMS allerede nu.
- Forny tidligt hvis du skal have en USB crypto enhed, den vil være inkluderet i prisen fra 1. Juni 2023, hvilket sikkert kan give prisændringer.
Deadlines for udstedelse uden USB crypto enhed:
Vi har nu fået følgende udmeldinger om hvornår sidste chance er for at udstede eller genudstede eksisterende certifikat uden brug af fysisk sikring, fra de forskellige CA’er.
GlobalSign senest 23. April 2023 – Er ikke længere muligt.
23. April 2023 er sidste dag hvor det er muligt at udstede eller genudstede GlobalSign OV CodeSign certifikater. Hvis ikke valideringen og udstedelsen er gennemført inden den 24. April 2023, vil udstedelsen skulle ske på en fysisk USB crypto dongel, eller på en certificeret HSM. Prisen øges med
DigiCert senest 15. Maj 2023.
DigiCert fjerner muligheden for at vælge uden fysisk sikring den 16 maj 2023. Certifikater skal være udstedt inden 30 maj 2023 hvor de ikke længere udsteder uden fysisk sikring.
Sectigo senest 29. Maj 2023.
Sectigo anbefaler at man fra 15. Maj 2023 bestiller med USB crypto enhed eller HSM. Certifikater der ikke er udstedt senest 30. Maj 2023, vil de revoke og bede om at få genudstedt med fysisk sikring. Derudover øges prisen på deres OV CodeSign certifikater.