x
    SUPPORT

HOT UPDATE

Wichtige Änderungen bei Code Signing-Zertifikaten

Neue Branchenanforderungen ab 1. Februar 2017


Wir möchten Sie über neue Branchenanforderungen informieren, die am 8. Dezember 2016 vom Certificate Authority Security Council (CASC) für Code Signing-Zertifikate verabschiedet wurden und am 1. Februar 2017 in Kraft traten.

Die neuen Richtlinien gelten für alle Zertifizierungsstellen und sorgen für höhere Sicherheit in der Praxis und minimieren das Risiko von Angriffen auf Code Signing-Zertifikate. Jede Zertifizierungsstelle muss die Mindestanforderungen erfüllen, kann aber darüberhinaus eigene Verfahrensweisen definieren.

Alle ab dem 01. Februar ausgestellten Code Signing-Zertifikate müssen auf einem externen Gerät gespeichert werden. Zu keinem Zeitpunkt sollte der Private Schlüssel in einen Web-Browser gesichert werden.
Zur Zeit verkauft nur GlobalSign Code Signing-Zertifikate, die bereits auf einem SafeNet Token gespeichert sind, so dass Sie sich nicht mehr um den Erwerb der entsprechenden Hardware kümmern müssen. Nachfolgend stellen wir Ihnen die Verfahrensweisen vor, die Symantec eingeführt hat um das Risiko der Falschausgabe zu reduzieren:

 

  • Strengere und standardisierte Identitätsprüfung, um den Antragsteller zu authentifizieren
  • Prüfung aller Code Signing-Aufträge auf Listen von verdächtigen oder bekannten Herausgebern von Malware
  • Prüfung aller Code Signing-Aufträge, die zuvor von Symantec widerrufen wurden, in denen die Zertifikate verwendet wurden, um verdächtigen Code zu unterzeichnen.


Zudem hat Symantec ein "Certificate Problem Reporting" -System sowohl für Symantec- als auch Thawte Code Signing-Zertifikate eingeführt, die es Dritten z.B. Softwareanbietern ermöglicht, Probleme in Bezug auf komprimierte Schlüssel, Missbrauch von Zertifikaten und möglichen Betrug zu melden. Nach der neuen Richtlinien wird Symantec, sobald eine Meldung eingeht, das betreffende Code Signing-Zertifikat innerhalb von achtundvierzig Stunden widerrufen oder den Antragsteller darauf aufmerksam machen, dass eine Untersuchung eingeleitet wurde.

 

Angesichts der potenziellen Schwachstelle, die im Hinblick auf die ungesicherte Speicherung privater Schlüssel entsteht, wird ein strengeres Schlüssel-Management empfohlen.

Nachfolgend stellen wir Ihnen die Empfehlung von Symantec vor, wie der private Schlüssel zu speichern ist:

  1. Ein „Trusted Platform Module“ (TPM): generiert und sichert ein Schlüsselpaar und hat die Möglichkeit die Sicherheit des Privaten Schlüsseln von den Teilnehmer durch eine TPM-Schlüssel Bescheinigung zu dokumentieren.
  2. Ein Hardware-Krypto-Modul: zertifiziert als konform zu FIPS 140 Level 2, Common Criteria EAL 4+, oder gleichwertig. 


Wenn keine der beiden obigen Optionen möglich sind, kann alternativ eine Art von Hardware-Speicher-Token mit der Größe einer SD-Karte oder USB-Token (nicht unbedingt zertifiziert als konform zu FIPS 140 Level 2 or Common Criteria EAL 4+) gewählt werden. Im diesen Fall sollten Sie unbedingt sicherstellen, dass der Token getrennt von dem Gerät aufbewahrt wird, mit dem Sie die Code-Signierung durchführen.



 


Widerruf von SSL-Zertifikaten ab 01.10.2016

Verfahrensweise für SSL-Zertifikate mit internen Domain-Namen und reservierten IP-Adressen

Im Juli 2012 hat das CA / Browser Forum die Entscheidung getroffen, dass SSL-Zertifikate mit reservierten IP-Adressen und internen Namen ab 1. November 2015 nicht mehr ausgestellt werden dürfen. Alle noch aktiven Zertifikate müssen daher bis zum 31. Oktober 2016 widerrufen werden.


Comodo kündigt an:

Ab 1. Oktober 2016 werden durch Comodo alle noch nicht abgelaufenen SSL-TLS-Zertifikate widerrufen, die als Subject Alternative Name (SAN) oder Common Name eine reservierte IP-Adresse oder einen internen Servername enthalten.

Wenn Sie immer noch interne Namen verwenden, empfehlen wir Ihnen dringend den Server für die Verwendung von öffentlichen Domainnamen zu konfigurieren.
Bei weiteren Fragen erreichen Sie uns telefonisch unter 0661 480 276 10 oder per E-Mail unter support[at]psw.net.
NACH OBEN
Zertifizierer