IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Débats sur le développement - Le Best Of Discussion :

Nouvelle exigence de stockage de clé privée pour les certificats de signature de code standard - Novembre 22


Sujet :

Débats sur le développement - Le Best Of

  1. #1
    Membre averti

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2006
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2006
    Messages : 82
    Points : 386
    Points
    386
    Billets dans le blog
    2
    Par défaut Nouvelle exigence de stockage de clé privée pour les certificats de signature de code standard - Novembre 22
    La procédure d'émission des certificats publics OV Code Signing va changer à partir du 15 novembre 2022

    Selon le régulateur de l'industrie SSL CA/B Forum, à partir du 15 novembre 2022, les clés privées pour les certificats OV Code Signing devront être stockées sur des dispositifs répondant aux normes de sécurité FIPS 140 niveau 2, Common Criteria EAL 4+ ou équivalentes.

    Cette nouvelle exigence signifie que les autorités de certification (CA) ne peuvent plus prendre en charge la génération de clés et l’installation de certificats basées sur un navigateur ou tout autre processus incluant la création d’une demande de signature de certificat (CSR) et l’installation de votre certificat sur un ordinateur portable ou un serveur. Les clés privées et les certificats doivent être stockés et installés sur des jetons ou des HSM (modules de sécurité matérielle) certifié au moins FIPS 140-2 Niveau 2 ou Critères communs EAL 4+.

    En conséquence, la protection de la clé privée sera renforcée et portée au niveau de l'EV (Extended Validation). Toutes les parties techniques de la délivrance d'un certificat de signature de code seront effectuées du côté de l'autorité de certification (CA).

    Les modifications apportées à la délivrance de la signature de code OV affecteront tous les certificats émis, réémis ou renouvelés à partir du 15 novembre 2022.

    Par conséquence, pour utiliser un certificat de signature de code stocké sur un token/HSM, l'utilisateur devra avoir un accès physique à ce dispositif, ainsi que des informations d'identification pour utiliser le certificat. Pour signer son code, l'utilisateur devra connecter le jeton/HSM avec le certificat à l'ordinateur, puis utiliser un mot de passe unique pour une sécurité supplémentaire.


    Que pensez-vous de cette nouvelle décision ?

  2. #2
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Bonjour,

    Je ne suis pas certain de voir quel type de problème cela pourrait poser. Ça me semble normal que les clés privées soient stockées de manière sécurisée, et pas dans un pauvre fichier texte "bien caché dans un répertoire"
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  3. #3
    Membre averti

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2006
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2006
    Messages : 82
    Points : 386
    Points
    386
    Billets dans le blog
    2
    Par défaut
    A ce que j'ai compris, il ne sera plus possible de mémoriser la clé privée dans le magasin de certificats Windows (pour ma part sans export possible de la clé privé pour + de sécurité) mais uniquement une clé physique à brancher + identification à chaque signature comme les certificats EV

    Donc deux problèmes que je vois :
    - Augmentation des coûts
    - Difficulté à automatiser la signatures de plusieurs composants à la chaine.... car cela va nécessitée l'obligation d'insérer la clé + saisir le mot de passe de déchiffrage de la clé privée à chaque composant signé.

    Peut être que je fais erreur, mais le revendeur de certificats nous à alerté sur ces points.
    S'il en a qui signe avec des certificats EV (vu les prix) comment cela se passe t'il avec les dongles de sécurité ?

  4. #4
    Membre averti

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2006
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2006
    Messages : 82
    Points : 386
    Points
    386
    Billets dans le blog
    2
    Par défaut
    Avez vous vu l'augmentation des prix des certificats OV ?
    Prix multiplié par 5 !

    Le certificat OV (chez httpc) passe de 211 € à 1008 € !

    Pour ceux qui distribue du Free, ça fait plus que mal
    Y'a de l'abus quand même pour un dongle à 50€

Discussions similaires

  1. Réponses: 4
    Dernier message: 18/02/2021, 21h41
  2. Réponses: 2
    Dernier message: 22/08/2018, 10h05
  3. Réponses: 0
    Dernier message: 19/01/2017, 18h58
  4. Réponses: 1
    Dernier message: 08/07/2011, 11h23
  5. Réponses: 3
    Dernier message: 18/06/2011, 15h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo