新规要求OV 代码签名证书私钥强制硬件存储,"软证书"即将停发!

根据ca/b论坛的最新标准，从2023年6月1日起，ov代码签名证书的私钥必须存储在fips 140 2级以上、common criteria eal 4级以上或同等认证级别的硬件中，与ev代码签名证书的私钥保护机制保持一致，旨在增强代码签名证书的私钥保护。具体详情请查阅最新版本的代码签名基线要求。

新规将影响从2023年6月1日起新颁发的OV代码签名证书。

1、新颁发证书

从2023年6月1日起，新颁发的OV代码签名证书及其私钥，必须存储并安装在FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的令牌或硬件安全模块（HSM）中。CA机构将不再支持基于浏览器的密钥生成、证书安装或其他任何流程操作，包括创建CSR（证书请求文件）、在电脑或服务器上安装证书等。

2、签名代码

从2023年6月1日起，必须使用基于硬件存储的OV代码签名证书进行代码签名。用户需要在计算机上插入硬件设备，并输入密码才能使用存储在硬件上的代码签名证书来签名代码。

3、购买或续费证书

从2023年6月1日起，购买或续费新的OV代码签名证书时，证书申请者需要选择存储私钥的硬件类型。与EV代码签名证书类似，有三个选项可供选择：

硬件令牌和HSM设备必须经过FIPS 140 2级以上、Common Criteria EAL 4级以上或同等级别认证；若使用硬件安全模块（HSM），您必须提交包含审计函的证明函。

4、重新颁发证书

从2023年6月1日起，重新颁发OV代码签名证书时，证书申请者必须在受支持的硬件令牌或硬件安全模块（HSM）上安装证书。如果证书申请者没有硬件令牌，则需要新购硬件令牌。

此次升级仅涉及证书生成和存储方式的变化，OV代码签名证书本身的功能和作用不受任何影响。沃通OV代码签名证书（标准码签名证书Pro、标准代码签名证书）是全球信任的多用途代码签名证书，支持.exe和.dll文件、Java Applets、J2ME MIDlet、Office宏文件等多种类型代码文件的数字签名，保护软件代码安全、验证软件来源可信、消除系统警告。为了帮助用户平稳过渡到新规，沃通CA建议您提前规划申请OV代码签名证书，最高可申请3年期。如果您对新规变化、硬件类型选择、新规下的操作流程等有任何疑问，欢迎咨询沃通WoTrus。