根据CA/B论坛发布的新关于OV代码签名的使用标准,自2022年11月15日起,OV代码签名证书必须存储在硬件设备中,包括eToken硬件、硬件安全模块HSM等,就像EV代码签名证书一样。
我们知道,在代码签名证书存储安全性上,EV代码签名证书一直因存储在硬件中而比OV代码签名证书具有更加安全的优势。而现在OV代码签名证书也将存储在硬件设备中,这意味着什么?
OV代码签名证书和私钥将得到更好的保护
OV代码签名证书在新标准出来之前都是以文本文件的形式存储证书和私钥文件,我们通常将其理解为“软证书”。这样的存储形式可以在线进行转发,只要拥有证书和私钥文件就可以利用签名工具对软件代码进行签名,存在着很大的私钥泄漏的风险。而将OV代码签名证书储存在安全令牌上面,私钥直接在令牌中生成和存储,避免多人在使用代码签名证书时造成人为证书和私钥泄露,具有更高的安全性。
证书使用的灵活性将有一定的牺牲
OV代码签名证书储存在硬件安全令牌上面后,证书签名使用上面更加规范和严谨,但是也会牺牲一定的便利性。比如:有多人需要签名时,不能像之前一样在线进行证书交付使用,必须进行硬件交接,或者在申请的时候将证书提取到不同的硬件中,以供多人使用。如果是流程打包签名则需要使用安全模块HSM进行在线签名,而HSM的成本又很高。综合来说,新的存储形式使用起来确实是减少了一些便利性。
不管是OV代码签名证书的形式更新还是不更新,都有一定的优势可选。不过小编还是建议大家根据自己的需求进行选择考量,如果您更偏向于使用便利性,那么您可以在新标准实施之前在环度网信申请OV代码签名证书,在新标准实施之前申请的OV代码签名证书存储形式和使用不受影响。
如果您有代码签名证书需求,请联系环度网信进行咨询。如果您想要申请使用更便利的“软”证书,请抓紧时间进行申请,在2022年11月15日之前申请的证书将不受影响。如果您更倾向安全性更高的“新”OV代码签名证书,那么您可以联系环度网信提前了解一下。