Jövőre minden Code Signing, kódaláíró tanúsítvány tokenre kerül. Mit jelent ez?

2022. aug. 5. | Pataki Tamás

Jövő év júniusától megváltoznak az OV kódaláíró tanúsítványok kiadásának és használatának feltételei. A privát kulcsukat egy hardveres tokenen kell tárolni. Ebben a cikkben megtudhatja, hogy ez mit jelent a felhasználók számára, és milyen egyéb aláírási lehetőségek állnak rendelkezésre.

Mit jelent a változás a Code Signing tanúsítvány használóinak?

Az összes Code Signing, kódaláíró tanúsítvány, amelyet 2022 november 15-e 2023 június 1-je után állítanak ki, már csak tokenen lesznek forgalmazva. A kiállított tanúsítvány tehát ezen a tokenen lesz elhelyezve, amelyet postai úton fog megkapni. Az aláírónak erre a tokenre minden aláíráskor szüksége lesz, illetve a tokent feloldó jelszóra.

A kibocsátásban bekövetkezett változás automatikus, ahogy a token postai úton való küldése is az új tanúsítvány kiállításakor. A feloldáshoz szükséges jelszót az ügyfélfiókjában, a megrendelés oldalán találja meg.

A tanúsítvány privát kulcsa nem exportálható a tokenből, ezért nem lehet PFX-fájlt létrehozni, mint korábban. A nagyobb használati biztonságot azonban ellensúlyozza a kisebb használati kényelem, amelyre az alábbiakban még visszatérünk.

Hosszabbítsa meg a tanúsítványát 3 évre, hogy a változás később érje

A már meglévő ügyfeleinknek van egy javaslatunk, amellyel a változást elnapolhatják. Javasoljuk, hogy november közepéig újítsa meg meglévő kódaláíró tanúsítványát (vagy vásároljon újat) akár 3 évre. Ez nem oldja meg a problémát, de legalább késleltetni fogja, és a következő 3 évben ugyanúgy aláírhatja alkalmazásait, mint korábban.

Ha több évre szóló tanúsítványt vásárol, pénzt is megtakarít, mivel a tanúsítvány éves ára csökken. Fontos azonban, hogy ne veszítse el a tanúsítványt a privát kulccsal együtt, mivel az újragenerálás után már az is tokenre lenne kiállítva.

Van lehetőség token nélkül aláírni?

A token és a tanúsítvány használata biztonságos, de messze nem praktikus. Minden egyes aláíráskor jelszót kell megadnia, és ez megakadályozza az automatikus aláírást. Ez problémát jelent, mivel egyre több szoftverfejlesztő vállalat tér át a CI/CD-alapú fejlesztésre.

Szerencsére van egy olyan aláírási lehetőség, amely pontosan ezeknek az igényeknek felel meg. A Secure Software Manager nevet viseli, és a DigiCert ONE platform része. Mi biztosítjuk ezt ügyfeleink számára, és segítünk Önnek a Secure Software Managerrel való indulásban.

A Secure Software Manager a hash-aláírás elvét használja, és az aláírás a DigiCert felhőben történik, ahol a privát kulcsot tartalmazó tanúsítvány található. Aláíráskor csak az aláírt fájl hash-ja (ujjlenyomata) kerül a felhőbe; amikor az visszatér, az aláíró segédprogram hozzáadja az aláírt alkalmazáshoz. A DC felhővel való kommunikáció a DigiCert által minden platformra készített könyvtárak segítségével történik.

A felhőalapú aláírás a jövő. Az aláírást jelentősen biztonságosabbá és gyorsabbá teszi, és azt jelenti, hogy az aláírt fájloknak nem kell az interneten keresztül utazniuk. Az aláíró kulcspárokat is teljes mértékben Ön irányíthatja, és minden művelet gondosan naplózva van.


Pataki Tamás
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu