Všechny Code Signing certifikáty budou od příštího roku na tokenu. Co teď?

5.8.2022 | Jindřich Zechmeister

Od června přístího roku se změní podmínky vystavování i používání OV Code Signing certifikátů. Jejich privátní klíč bude muset být uložen na hardwarovém tokenu. V tomto článku se dozvíte, co to znamená pro uživatele a jaké jsou další možnosti podepisování.

Co změna znamená pro uživatele Code Signing certifikátů?

Všechny certifikáty Code Signing vydané po 15.11.2022 01.06.2023 budou vydány a distribuovány na tokenu. Vydaný certifikát bude tedy uložen na tokenu a ten dostanete poštou. Tento token bude podepisující osoba potřebovat při podepisování a při každém podpisu bude muset zadat heslo pro odemčení tokenu.

Změna ve vydávání se projeví automaticky a po vydání nového certifikátu vám token automaticky dorazí poštou. V naší administraci pak najdete heslo k jeho odemčení.

Privátní klíč k certifikátu nelze z tokenu exportovat, a tudíž nebude ani možné vytvořit soubor PFX, jak tomu bylo dříve. Vyšší bezpečnost použití je však vykoupena nižším komfortem používání, ke kterému se ještě vrátíme níže.

Prodlužte si certifikát na 3 roky a oddalte změnu

Pro stávající zákazníky máme tip, jak dopady změny oddálit. Doporučujeme si do půlky listopadu prodloužit stávající certifikát Code Signing (či koupit nový) na nejdelší dobu platnosti 3 roky. Problém tím nevyřešíte, ale alespoň ho oddálíte a příští 3 roky budete moci podepisovat jako doposud.

Při koupi certifikátu na více let zároveň ušetříte, protože se sníží roční cena certifikátu. Bude však důležité certifikát s privátním klíčem neztratit, protože při případném přegenerování by už byl vydán na tokenu.

Existují možnosti podepisování bez tokenu?

Používání tokenu s certifikátem je bezpečné, ale zdaleka není praktické. Při každém podpisu musíte zadávat heslo a to zabraňuje automatizaci podepisování. To je problém, protože stále více firem vyvíjejících software přechází na vývoj využívající principy CI/CD.

Naštěstí je tu varianta podepisování vytvořená přesně pro tyto potřeby. Jmenuje se Secure Software Manager a je součástí širší platformy DigiCert ONE. Pro naše zákazníky ji umíme zprostředkovat a pomůžeme vám se Secure Software Managerem začít.

Secure Software Manager využívá princip hash signing a podpis probíhá v cloudu DigiCertu, kde je umístěn certifikát s privátním klíčem. Při podepisování putuje do cloudu pouze hash (otisk) podepisovaného souboru; po jeho navrácení ho podepisující utilita přidá k podepisované aplikaci. Komunikace s cloudem DC probíhá pomocí knihoven, které má DigiCert připraven pro všechny platformy.

Podepisování pomocí cloudu je budoucnost. Díky tomu je podepisování výrazně bezpečnější, rychlejší a podepisované soubory nemusí putovat internetem. Máte taky kompletní kontrolu nad páry klíčů, které podepisují, a všechny operace jsou pečlivě logovány.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz