業界は、企業認証コードサイニング証明書の秘密鍵の格納に関する要件へ準備いただく時間を確保するため、適用日を2023年6月1日 (UTC) に延期しました。 |
2023年6月1日 00:00 UTC から、業界標準として企業認証コードサイニング証明書の秘密鍵を、FIPS 140 レベル2、Common Criteria EAL 4+、または同等の認定を受けたハードウェアに格納する必要があります。この変更により、コードサイニング証明書の秘密鍵はEV認証(Extended Validation) コードサイニング証明書の秘密鍵同等に保護されます。
新しい要件は、コードサイニング証明書の手順にどのように影響しますか?
秘密鍵格納の要件は、2023年6月1日から発行されるコードサイニング証明書から適用され、下記に記載するコードサイニングの手順の一部に影響します。
- 秘密鍵の保管と証明書のインストール
この新しい要件により、認証局 (CA) が提供するブラウザーベースの鍵生成と証明書のインストール、または CSR (証明書署名要求) の作成とラップトップまたはサーバーへの証明書のインストールを含むその他処理手順を利用できなくなることを意味します。 秘密鍵と証明書は、少なくとも FIPS 140-2 レベル2 またはCommon Criteria EAL 4+ として認定されたトークンまたは HSM (ハードウェア セキュリティ モジュール) に格納およびインストールする必要があります。
- コードへの署名手順
トークンベースのコードサイニング証明書を使用する場合には、トークン、またはHSMにアクセスし、そこに格納されている証明書を使用するための資格情報が必要です。たとえば、トークンベースでコードに署名する場合は、トークンをラップトップ、またはサーバに接続する必要があります。次に、トークンに格納されているコードサイニング証明書を使用し、コードに署名する際にはパスワードの入力が求められます。
- 2023年6月1日以降のコードサイニング証明書の新規申請と更新申請
企業認証のコードサイニング証明書を注文して更新する場合は、プロビジョニング方法を選択します。プロビジョニング方法とはつまり、秘密鍵を格納するハードウェアを選択することです。EVコードサイニング証明書と同様に、プロビジョニング方法の選択肢には3つあります。
- DigiCertが提供するハードウェア トークン
- 既存のサポートされているハードウェア トークン
- ハードウェア セキュリティ モジュール (HSM)
ハードウェア トークンと HSMは、FIPS 140 レベル 2、Common Criteria EAL 4+、または同等のものである必要があります。HSM を使用するには、 DigiCert によるデジタル証明書 – 使用条件 のセクション13 (セキュリティ及び鍵セットの使用)に記載されている要件に準拠する必要があります。
- 2023年6月1日以降の証明書の再発行
コードサイニング証明書を再発行する場合は、サポートされているハードウェア トークンまたは HSMに証明書をインストールしなければなりません。トークンをお持ちでない場合は、再発行申請の際に、DigiCertからトークンを購入(※)することができます。
※DigiCertでは、コードサイニング証明書を再発行する際にトークンを購入いただけるよう準備をしております。
ハードウェア トークンを利用せずに運用することはできますか?
DigiCert® Software Trust Managerへ移行いただくと、コード署名のワークフロープロセスを自動化しソフトウェアのセキュリティを向上させることができます。 署名プロセスを遅滞させることなく、エンドツーエンドの全社的なセキュリティで脆弱性の発生源となるポイントを削減し、コード署名プロセスを制御します。
主な機能:
- HSM 秘密鍵の格納 — 業界に準拠
- ポリシーの施行
- 集中管理
- CI/CD パイプラインとの統合 、など
DigiCert® Software Trust Manager を実際にご利用になっている企業、組織の利用例は、ケース スタディ をご参照ください。
※本ページは、こちら (英語) のページをもとに作成されています。