标签：代码签名证书

根据CA/B论坛要求，为提升 代码签名证书私钥的保护强度，从2023年6月1日起，普通的OV代码签名证书私钥必须存储在FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的硬件上，与EV代码签名证书的私钥保护机制保持一致。,新规要求将影响从2023年6月1日起新颁发的OV代码签名证书，此次普通OV代码签名证书私钥保护标准的实施，将大大地提高代码签名证书的安全性和可靠性，为您的业务安全提供更有力的保障。,从2023年6月1日起，必须使用基于硬件存储的OV代码签名证书进行代码签名。用户需要在计算机上插入硬件设备，才能使用存储在硬件上的代码签名证书，然后需要密码才能使用硬件上的代码签名证书来签名代码。,为了响应这一策略，相关CA发布了执行这一策略的具体时间：,各大CA机构执行新规的时间略有差异，您可根据选择的CA机构，在规定的时间内进行升级。此次新规只触及OV代码签名证书，由于EV代码签名证书曾经在硬件模块上颁发，从而一致了OV代码签名证书和EV代码签名证书在私钥维护方面的请求。,此次升级仅为证书生成存储方式的变化，OV代码签名证书本身的功能作用不受任何影响。如果您证书即将到期，建议提前规划申请OV代码签名证书，最高可申请3年期。,(本文由主机测评zhuji.vsping.com原创，转载请注明出处“主机测评zhuji.vsping.com”和原文地址！)

GlobalSign日前发布通知，将对所有 代码签名证书的要求进行调整，以确保符合最新的证书颁发机构/浏览器（CA/B）论坛要求。本次调整将于2023年4月24日起执行生效。,CA/B论坛已对发布代码签名证书的基线要求（BR）进行了更新。自2023年6月1日起，在FIPS 140‐2 Level 2或Common Criteria EAL 4+兼容设备中为标准和EV 代码签名证书生成并保护私钥。对于标准代码签名证书用户，这意味着密钥对必须生成并存储在满足或超过FIPS 140-2级别2或通用标准EAL 4+要求的硬件加密模块中。,此外，更新还规定了如何在兼容设备上生成和保护证书颁发机构（CA）私钥的具体方式。其目的是为了加强对与代码签名证书相关的私钥的保护，并减少使用这些密钥进行恶意软件签名的风险。,为确保符合更新后的要求，需要进行以下更改：,1、如果您要在2023年4月24日之后续订或重新颁发令牌上的代码签名证书，则需要从注册时选择以下选项：,使用Fortify安装-如果选择此方法，您将从GlobalSign获得一个兼容令牌。然后，您需要从https://fortifyapp.com/上安装Fortify应用程序并按照GlobalSign支持网站上提供的说明操作。,使用IE兼容模式安装-您可以在兼容模式下使用IE安装代码签名证书。,2、如果您在2023年4月24日之后在硬件安全模块（HSM）上颁发代码签名证书，则需要提供内部或外部IT审计报告。这表明您正在使用合适的硬件加密模块来生成和保护代码签名证书的私钥。,为此，建议您在2023年4月24日之前查看您证书的续订日期，并检查以上更改是否会影响您。,(本文由主机测评zhuji.vsping.com原创，转载请注明出处“主机测评zhuji.vsping.com”和原文地址！)

为遵守CA/B论坛基线要求，GlobalSign将从2022年7月25日开始对SSL/TLS证书的组织单位 (OU)字段进行停用的准备，主要时间安排如下：,先前颁发的包含OU字段的SSL/TLS证书（在截止日期之前颁发）将不会受到影响，并且会继续受到信任，直到它们过期。,GlobalSign是一家全球知名CA机构，也是中高端SSL证书品牌，提供多种数字证书产品服务，包括DV SSL证书、OV SSL证书、EV SSL证书等，致力于为企业、个人用户提供安全可靠的网络安全解决方案。,点击查看：GlobalSign SSL证书申请链接,(本文由主机测评zhuji.vsping.com原创，转载请注明出处“主机测评zhuji.vsping.com”和原文地址！)

根据CA/B论坛最新规定：从2022年9月1日开始，所有CA颁发的可信SSL/TLS数字证书将不再使用OU字段。为遵循行业新规，提前应对SSL证书策略变更，Sectigo证书将于2022年7月1日弃用OU字段，相关内容如下。,, 主要变更：,从2022年7月1日开始，Sectigo不再签发含有OU字段信息的SSL数字证书，即变更生效后，新签和重签的企业级SSL证书（包括OV SSL证书和EV SSL证书）、EV 代码签名证书和OV代码签名证书将不再含有OU字段信息。,同时，Sectigo计划在4月1日前提供一个可选方案，即为每个账户临时开通“关闭”OU字段功能，以评估此次更改的影响力度。, OU字段是什么？,我们在申请购买SSL证书时，需要提交证书签名请求文件，即CSR文件。这里可使用CSR生成工具在线生成CSR文件，在输入框中填写存储在证书中的元数据，其中Organization Unit (OU)字段即所在部门或单位，如下图：,, Sectigo证书怎么样？,Sectigo原名是Comodo，因为公司调整改名为Sectigo，它是全球SSL证书市场占有率靠前的CA公司，由于其产品安全、性价比高等优势深受用户信任和欢迎。Sectigo SSL证书产品种类齐全，包括DV SSL证书、OV SSL证书、EV SSL证书、单域名证书、多域名证书、通配符证书、多域名通配符证书、代码签名证书等，能满足不同用户需要。,(本文由主机测评zhuji.vsping.com原创，转载请注明出处“主机测评zhuji.vsping.com”和原文地址！)

近期CA /B论坛发布从2021年6月1日开始，将强制要求使用最低3072位密钥长度来颁发新的代码签名证书。为了遵循最新行业标准，GlobalSign也发布了通知，将更改 代码签名证书密钥长度，相关内容如下。,GlobalSign即将对代码签名合规性进行更改。从2021年5月31日开始，所有新颁发的代码签名证书（包括重新颁发和续签）都将使用4096位密钥颁发或要求使用4096位密钥颁发。,值得注意的是：2021年5月31日之前颁发的具有2048位密钥的现有代码签名证书以及这些证书应用的签名将继续工作并受信任。新的授权只适用于新颁发的证书。,由于时间戳服务是代码签名长期有效的重要组成部分，因此GlobalSign更新了时间戳URL，并将密钥长度从2048位更改为3072位密钥。,代码签名证书和新的eToken：,影响：通常用于存储EV代码签名订单（并且在行业范围内使用）的Safenet 5110 FIPS eToken与大于2048位的密钥大小不兼容 。,从2021年6月开始，GlobalSign将为新颁发（重新颁发/续签）EV代码签名证书的订单提供新的/兼容的USB令牌。  新的兼容令牌样式为：  Safenet etoken 5110 CC（940）,注意事项：,除非重新颁发或续签证书（2021年5月31日之后），否则现有的EV代码签名命令将不受影响，同时GlobalSign将提供替换令牌。,对于客户使用自己的可移动硬件或HSM的标准代码签名证书和/或HSM订单 ，请确保设备/ HSM支持4096位密钥。,时间戳服务更改 ：,请在 2021年6月1日之前迁移到下面的 新R6代码签名时间戳URL。,自2021年6月1日起，旧版R3 TSA URL将被弃用。,(本文由主机测评zhuji.vsping.com原创，转载请注明出处“主机测评zhuji.vsping.com”和原文地址！)

根据最新的CA / Browser论坛要求，公开信任的代码签名和时间戳证书的最低密钥要求将是3072位RSA。为了保持合规性，DigiCert近期宣布，于本月27日开始，新颁发或者续签的 代码签名证书需要使用3072位RSA密钥或更大的密钥。,,与TLS证书不同，代码签名证书需要能够长期保持安全的签名。而较短的密钥对未来的密码攻击的抵抗力较小，这意味着对签名代码的信任度较弱，为了使代码签名可以保持对已签名代码的长期信任，所以对代码签名和时间戳证书的密钥长度做了调整。,从2021年5月27日起，DigiCert将需要3072位密钥或更大的密钥来进行新的或续签代码签名证书。这里要注意的是，在本月27日之前颁发的SSL证书仍然有效直到过期，而在27日之后，任何重新颁发、续订的证书都必须至少具有3072位RSA。,DigiCert做出这一更改，也是为了保证安全性。为了使迁移尽可能容易，用户可以利用DigiCert®Secure Software Manager，它不需要硬件即可满足新要求。此外，由于它基于DigiCert ONE™构建，所以可以支持代码签名的完全自动化，以便可以对签名进行脚本编写并与开发人员构建工具（例如Jenkins和Azure）集成。使用安全软件管理器（Secure Software Manager），您可以自动执行EV代码签名，并且支持密钥生成和保护。,(本文由主机测评zhuji.vsping.com原创，转载请注明出处“主机测评zhuji.vsping.com”和原文地址！)

日前有网友反馈收到GlobalSign通知，将要重新颁发 代码签名证书，这是怎么回事呢？下面来看下具体的通知内容。,尊敬的客户/合作伙伴：,GlobalSign通知您，关于标准代码签名证书或扩展验证（EV）代码签名证书的订单，由于最近更改了代码签名产品的ICA，更改如下所述：,由于合规性原因，GlobalSign正在淘汰以前的ICA。为了确保您的证书完整，证书周期管理选项仍然可用。我们建议在4月21日之前重新颁发证书（免费），以获得新ICA颁发的替换代码签名证书。,请注意： 4月21日之后，以前ICA颁发的代码签名证书和数字签名将继续有效。我们建议重新颁发证书，以保证正常的证书生命周期管理功能。,我们知道SSL证书具有服务器身份验证和数据传输加密功能，其重要性不容小觑。关于证书重新签发问题，可以咨询本站进行了解。,(本文由主机测评zhuji.vsping.com原创，转载请注明出处“主机测评zhuji.vsping.com”和原文地址！)

自互联网诞生以来，越来越多的应用软件也随之诞生，而且被使用的频率也越来越高。虽然网络技术越来越发达，但是软件安全问题依然存在，而 代码签名证书正是为软件的安全而生。为了满足不同用户的需求，代码签名证书分为个人代码签名证书、微软代码签名证书和EV代码签名证书。今天就EV代码签名证书来做个详细的介绍。,,1、什么是EV代码签名证书？,EV代码签名证书是指扩展型代码签名证书，具有标准代码签名证书的所有功能，能签名内核代码，不同的是它采用了更加严格的国际审核标准扩展验证（即Extended Validation：EV验证），并且有严格的证书私钥保护机制（必须采用USB Key来保护签名证书的私钥，以防止证书被非法盗用，确保代码签名证书的安全）。, EV代码签名证书推荐：Sectigo EV代码签名证书|DigiCert EV代码签名证书,2、EV代码签名证书有什么优势？,EV代码签名证书除了拥有普通代码签名证书的所有优点，还有以下优势：,1）严格的审核流程，安全等级更高,EV代码签名证书除了需要验证发布商的组织名称之外，还会审查企业的其他信息，如企业真实地址、管辖权等。验证过程非常严格，使得恶意软件开发者难以冒充并获得代码签名凭证，用于以合法开发公司的幌子签名恶意软件。,2）支持Windows10内核驱动签名,EV代码签名证书可以立即获得Windows8/Windows10中SmartScreen信誉，支持微软硬件表盘WHQL徽标认证账户注册登录。,使用EV代码签名证书可以增强软件的安全性，这是毋庸置疑的，同时还能增加用户的信任度，提升软件下载使用率，还没使用的可以安排上了。 现在来安信证书申请“代码签名证书”还可以享受优惠哦！,相关阅读推荐：《代码签名证书和SSL证书》,(本文由主机测评zhuji.vsping.com原创，转载请注明出处“主机测评zhuji.vsping.com”和原文地址！)