Certificati Code Signing su un token? Non c’è nulla di cui preoccuparsi

22/mag/2023 | Jindřich Zechmeister

I certificati Code Signing ora possono essere memorizzati soltanto su un token o su un HSM. Non sarà più possibile memorizzarli localmente sul computer, per esempio nel popolare formato di file PFX.

Che cosa cambia e da quando?

Dal 16/05/2023, analogamente ai certificati EV Code Signing, anche tutti i certificati Code Signing devono venire emessi su un supporto protetto che può essere un token o un HSM. Il token deve soddisfare gli standard di certificazione FIPS 140-2 Livello 2 oppure Common Criteria EAL 4+. Questa modifica si applica all’intero settore in questione, quindi anche a tutte le autorità di certificazione. Tutti devono aderire a queste regole e rispettarle.

Pertanto, tutti i proprietari e gli utenti dei certificati Code Signing dovranno avere il loro certificato su un token, cosa che in precedenza era una prerogativa e vantaggio solo dei certificati EV Code Signing.

Non c'è bisogno di preoccuparsi del cambiamento, l’apposizione della firma rimane semplice

Poiché vogliamo renderti il passaggio a un token il più semplice possibile, potrai ottenerne uno da noi al prezzo di Euro 75 anziché di 120 USD offerto da DigiCert, e ciò indipendentemente dalla durata di validità del certificato.

Con il token, il processo di apposizione della firma rimane praticamente invariato. L’unica modifica sta nel fatto che, invece di fare riferimento al file PFX o allo storage, farai riferimento allo storage sul token. Nonostante il certificato sia memorizzato sul token, grazie all’applicazione Safenet è "visibile" nello storage dei certificati del sistema, come se fosse fisicamente presente. L’apposizione della firma non si complicherà in nessun modo.

Più avanti viene riportato un esempio di come richiamare il certificato sul token (la firma viene effettuata utilizzando lo strumento signtool dell'SDK di Windows). Non farai più riferimento a un file ma, utilizzando il parametro /s farai riferimento allo storage: signtool sign /s my /t http://timestamp.verisign.com/scripts/timestamp.dll C:/test.exe

L’apposizione della firma continua a essere semplicissima. Se, ai fini della firma, selezioni un certificato dall'elenco (finestra di dialogo del sistema), anche lì risulterà visibile il certificato sul token.

Cosa fare se non desidero il token?

Possono esserci diversi motivi per non desiderare il certificato sul token. La situazione più comune è quella in cui ad apporre la firma a un’applicazione sono più sviluppatori di un team i quali dovrebbero disporre dei propri certificati oppure servirsi a vicenda di un solo certificato memorizzato sul token. Tale situazione è abbastanza scomoda, eppure esistono delle soluzioni. Indichiamone almeno due.

Una possibilità sta nell’acquistare un HSM e memorizzare il token in modo sicuro su questo dispositivo hardware. Tuttavia, la cosa comporta un investimento non trascurabile che può richiedere diverse migliaia di dollari. Un sistema moderno per risolvere questo problema è quello di apporre la firma utilizzando il cloud protetto dell’autorità di certificazione. Tale servizio viene offerto dalla piattaforma DigiCert ONE e si chiama Software Trust Manager.