尊敬的客户/合作伙伴,
GlobalSign将对所有代码签名证书的要求进行调整,以确保我们符合最新的证书颁发机构/浏览器(CA/B)论坛要求。
发生了哪些变化?
CA/B论坛已对发布代码签名证书的基线要求(BR)进行了更新。自2023年6月1日起,在
FIPS 140‐2 Level 2或Common Criteria EAL 4+兼容设备中为标准和EV 代码签名证书生成并保护私钥。对于标准代码签名证书用户,这意味着密钥对必须生成并存储在满足或超过FIPS 140-2级别2或通用标准EAL 4+要求的硬件加密模块中。
此外,更新还规定了如何在兼容设备上生成和保护证书颁发机构(CA)私钥的具体方式。其目的是为了加强对与代码签名证书相关的私钥的保护,并减少使用这些密钥进行恶意软件签名的风险。
什么时候生效?
GlobalSign将于2023年4月24日起执行生效
您需要采取什么行动?
为确保符合更新后的要求,需要进行以下更改:
1. 如果您要在2023年4月24日之后续订或重新颁发令牌上的代码签名证书,则需要从注册时选择以下选项:
- 使用Fortify安装-如果选择此方法,您将从GlobalSign获得一个兼容令牌。
然后,您需要从https://fortifyapp.com/上安装Fortify应用程序并按照GlobalSign支持网站上提供的说明操作
- 使用IE兼容模式安装-您可以在兼容模式下使用IE安装代码签名证书。您将收到一个令牌,请按照如何在Microsoft Edge中启用IE兼容性的说明操作
2. 如果您在2023年4月24日之后在硬件安全模块(HSM)上颁发代码签名证书,则需要提供内部或外部IT审计报告。这表明您正在使用合适的硬件加密模块来生成和保护代码签名证书的私钥
2023年4月24日之前您需要做什么?
查看您证书的续订日期,并检查以上更改是否会影响您。
由此产生的影响和不便,我们深感歉意,也感谢您的理解和支持。
GlobalSign将秉持着安全、可信、可靠为准则,一如既往的继续为您提供优质服务。
GlobalSign China Co., Ltd
环玺信息科技(上海)有限公司
2023年2月20日