Neue Bedingungen für Nutzung der OV Code Signing Zertifikate

(21.7.2022, aktualisiert am 4.10.2022) Nicht ab diesem November, sondern erst ab Juni des nächsten Jahres ändern sich die Bedingungen der Ausstellung und Nutzung der OV Code Signing Zertifikate. Ihr privater Schlüssel wird auf einem Hardware-Gerät gespeichert sein müssen, welches die Klassifikation FIPS 140 Level 2, Common Criteria EAL 4+ erfüllen wird. Also zum Beispiel auf einem Token ähnlich wie es in dem Fall der EV Code Signing Zertifikate ist.

Die neuen Anforderungen an die Speicherung des privaten Schlüssels werden die ab dem 15.11.2022 01.06.2023 (Termin aufgeschoben) ausgestellten OV Code Signing Zertifikate betreffen und werden sowohl die Verlängerung dieser Zertifikate, als auch ihre Neuausstellung, Installierung und Nutzung selbst beeinflussen. Die Bedingungen für die Ausstellung der Code Signing Zertifikate, sog. Code Signing Baseline Requirements, wurden in dieser Hinsicht aus Sicherheitsgründen verschärft – es wird nicht mehr möglich sein, die CSR-Anforderungen in online Tools oder Browsern zu erstellen und die Schlüssel (den privaten Schlüssel und das Zertifikat) in dem Rechner des Nutzers gespeichert zu haben.

  • Bei der Bestellung eines neuen OV Code Signing Zertifikats oder seiner Verlängerung wird es deshalb nötig sein, einen der Typen der angebotenen Hardware für die Speicherung des privaten Schlüssels auszuwählen: ein von DigiCert geliefertes Token, Ihr eigenes (unterstütztes) Token, oder HSM.
  • Ein neuausgestelltes Zertifikat wird auf ein eigenes (unterstütztes) Token gespeichert, HSM, oder auf ein von DigiCert geliefertes Token.
  • Für Signierung von Anwendungen werden ein Zugang zu dem Token/HSM und Log-in Angaben erfordert.