Vystavovanie certifikátov Code Signing pre podpis kódu bude mať svoje pravidlá, rovnako ako pri ostatných certifikátoch.
Veľké CA sa dohovorili na prijatí Minimum Requirements, ktorý zaštíti postupy na overenie žiadateľov a tzv. Best practices na použitie Code Signing certifikátov.
Pravidlá sú výsledkom spolupráce Microsoftu a certifikačných autorít
S vôbec prvými pravidlami pre vystavovanie Code Signing certifikátov prichádza združenie Certificate Authority Security Council (CASCO). Na vytvorení Minimum Requirements pre Code Signing certifikáty sa tiež angažoval Microsoft. Dôvodom je skutočnosť, že väčšina vystavených Code Signing certifikátov je určených pre túto platformu, ktorá má 90 % trhový podiel. Microsoft bude chcieť, aby sa certifikačné autority pravidlami riadili ihneď.
Ako Code Signing certifikáty správne používať?
Súčasťou spomínaného dokumentu sú Best Practises, čo sú odporúčania CA na správne a bezpečné používanie certifikátov. Hlavným princípom bezpečného používania Code Signing certifikátu je ochrana privátneho kľúča. S privátnym kľúčom certifikátu môže útočník podpisovať vlastné aplikácie. To, že je jeho motiváciou podpisovať ukradnutým certifikátom škodlivé aplikácie a malware nie je potrebné zdôrazňovať.
Ak nemáte drahé riešenie typu HSM, môžete zvýšiť bezpečnosť podpisovania aplikácií vďaka EV Code Signing certifikátu. Ten je uložený na USB tokene a jeho krádež by sa musela uskutočniť fyzicky. Aj tak je možnosť zneužitia takmer nulová, pretože útočník by musel uhádnuť vaše heslo na použitie tokenu, pričom sa po piatich neúspešných pokusoch zablokuje.
Podpisovanie aplikácií je nutné, ale tiež jednoduché
Ak vyvíjate aplikácie a programujete, tak je pre vás bezpečnosť aplikácie a riešenia nejakého certifikátu práca navyše. Niekto by dokonca mohol nadobudnúť dojem, že je to časovo náročný a ťažký proces. Nie je tomu tak a vďaka SSLmarketu môžete certifikát získať ľahko. Pomôžeme vám aj v začiatkoch jeho používania. V bežných podmienkach sa podpisovanie nedá automatizovať, ale je to rýchly úkon a vďaka časovým pečiatkam stačí jeden podpis aj do budúcna.
CASCO pripravil pre užívateľov Code Signing certifikátov dokument, ktorý im vysvetlí ich fungovanie a dodá základné informácie. Pre viac informácií o podpisovaní aplikácií a problematiky SSL certifikatov sledujte tematicky zameraný web podpis-aplikaci.cz a www.sslmarket.sk.
Autor: Ing. Peter Tomaščík, Špecialista pre bezpečnostné SSL certifikáty
Tento článok vyšiel aj v tlačenom marcovom vydaní TOUCHIT č. 3/2017, preto sa niektoré skutočnosti uvedené v článku, môžu odlišovať oproti aktuálnemu dátumu publikovania.