2022年11月15日起，代码签名证书私钥均需存储在硬件加密模块中！

近日，CA/B论坛对代码签名证书私钥做出了变更要求：证书密钥对必须在达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。此次变更旨在增强保护代码签名证书私钥。

打开网易新闻 查看更多图片

本次代码签名基线要求（CSBR）解决了EV代码签名和OV代码签名证书的颁发问题。在此之前，CA/B论坛对EV代码签名和OV代码签名证书有不同的私钥保护要求。例如，EV代码签名证书是存储在Ukey中寄送到用户手中，而非EV代码签名（即OV代码签名）的密钥对可以在软件中生成，这就很容易导致私钥被分发，从而增加了私钥泄露的潜在风险。

代码签名证书私钥变更要求

从 2022 年 11 月 15 日起，代码签名证书密钥对必须在达到FIPS 140-2 Level 2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。这就意味着不论OV代码签名还是EV代码签名证书，他们的密钥对都需在一个硬件设备中生成，且不支持导出私钥。无疑，这将有助于最大限度地降低私钥泄露的可能性。

（CAB论坛 Ballot CSC-13截图）

软件开发者可以提前关注锐成云资讯了解更多代码签名证书相关信息。