2022年6月13日
デジサート・ジャパン合同会社 このたび弊社では、CA/ブラウザフォーラムにおけるコードサイニング基本要件 (※1)の
変更に伴い、企業認証コードサイニング証明書のご申請、および発行手順の一部を 変更いたします。 当該要件では、2022年11月15日 (UTC)以降に発行されるコードサイニング証明書の秘密鍵は、 FIPS140 Level2、 Common Criteria EAL 4+、または同等のセキュリティ要件を満たす ハードウェアに格納されなければならないと定められております。 当変更により、 EVコードサイニング証明書と同等に企業認証のコードサイニング証明書の秘密鍵を安全に 保護することができます。 変更の詳細は、下記をご参照ください。 弊社では引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう お願い申し上げます。 ※1 Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates https://cabforum.org/wp-content/uploads/Baseline-Requirements-for-the-Issuance-and- Management-of-Code-Signing.v2.8.pdf
※ 日程は確定次第ご案内いたします。 2.変更内容 適用日以降に発行されるコードサイニング証明書(新規/更新/再発行を含む)は、 以下の変更が予定されています。 2-1. コードサイニング証明書の新規/更新申請について 申請の際の入力項目、および証明書の取得手順が変更となります。 変更前: 申請時にCSRを提出し、弊社による認証完了後にCertCentralから証明書を取得し クライアント端末/サーバにインストールする。 または、CSRは提出せずに申請し、 弊社による認証完了後に、弊社鍵生成ツールを利用してクライアント端末の ブラウザ上で鍵ペアを生成、証明書を取得しクライアント端末/サーバにインストールする。 変更後: 申請の際に、証明書を格納するためのオプション(プロビジョニング方式)を選択する。 オプションには、 a) デジサートが提供するトークンを利用する、b) ご自身で 準備した要件を満たすトークンを利用する、 c) ハードウェアセキュリティモジュール (以下、HSM)を利用する、があり、この中からひとつ選択して申請を完了する。 弊社による認証完了後に、選択したプロビジョニング方式に応じて、鍵ペアを作成し 証明書をハードウェアにインストールする。 2-2. 再発行について 適用日前に発行済みの証明書を適用日以降に再発行する場合も当要件が適用されます。 手元に要件を満たすハードウェアがない場合は、その時点でDigiCertからトークンを 購入できるようにご案内いたします(予定)。再発行のお手続きの詳細は、確定次第 ご案内いたします。 2-3. 署名の手順について 適用日以降に発行され、トークンやHSMに格納されたコードサイニング証明書を 使用するには、トークンまたはHSMにアクセスし、そこに保存されている証明書を 使用するための認証情報が必要となります。例えば、トークンを利用してコード署名を 行うには、トークンをコンピュータに接続し、その後、トークン上の コードサイニング証明書を使用してコードに署名するためにパスワードが必要です。 3. ご参考)DigiCert® Secure Software Manager のご紹介 当該要件に伴い、証明書は個別のトークン/HSM単位で管理が必要となります。 リモートワークの浸透や、複数の作業者がコードの署名に携わる場合は、 これまで以上に鍵の保管、管理方法の見直しが求められます。 DigiCert® Secure Software Managerでは、クラウド型のHSMと統合し鍵と証明書を 一元管理します。 複数の開発担当者やユーザが、随時必要に応じて素早く簡単にツール、 アプリケーションやライブラリ等「コード」型のあらゆるソフトウェアに 署名することができます。 主な機能 - HSMキーストレージ - 秘密鍵・証明書、および署名作業を集中管理 - 社内/部門のセキュリティポリシーを適用 - CI/CDパイプラインとの統合 詳しくはこちらをご覧ください。 DigiCert Secure Software Manager https://www.digicert.com/jp/signing/secure-software-manager 4. 本件に関するお問合せ先はこちら
|