A partire dall'anno prossimo tutti i certificati Code Signing saranno sul token. Ed ora?

05/ago/2022 | Jindřich Zechmeister

Da giugno dell'anno prossimo, le condizioni per il rilascio e l'utilizzo dei certificati Code Signing OV cambieranno. La loro chiave privata dovrà essere archiviata sul token hardware. In questo articolo imparerai cosa significa il cambiamento per gli utenti e quali altre opzioni di firma sono disponibili.

Cosa significa il cambiamento per gli utenti dei certificati Code Signing?

Tutti i certificati Code Signing emessi dopo il 15.11.2022 01.06.2023 verranno emessi e distribuiti sul token. Il certificato emesso verrà quindi archiviato sul token e questo lo riceverai per posta. Il firmatario avrà bisogno di questo token per eseguire firma e allo stesso tempo dovrà inserire una password per sbloccare il token ogni volta che firma.

Il cambiamento dell'emissione si rivelerà automaticamente e, dopo l'emissione di un nuovo certificato, riceverai il token automaticamente per posta. Nella nostra amministrazione poi troverai la password per sbloccarlo.

La chiave privata del certificato non può essere esportata dal token e quindi non sarà neanche possibile creare un file PFX come prima. Una maggiore sicurezza d'uso è però pagata da un minore comfort d’uso, su cui torneremo di seguito.

Estendi il tuo certificato per 3 anni e posticipa il cambiamento

Per i clienti attuali abbiamo un consiglio su come ritardare gli effetti del cambiamento. Consigliamo di estendere entro metà di novembre il tuo certificato Code Signing attuale (o di acquistarne uno nuovo) per un periodo di validità massimo di 3 anni. Questo non risolverà il problema, ma almeno lo posticiperai e potrai firmare come finora per i prossimi 3 anni.

Con acquistare un certificato per più anni allo stesso risparmierai, perché il prezzo annuale del certificato verrà ridotto. Sarà però importante non perdere il certificato con la chiave privata, perché in eventuale caso di rigenerazione essa verrà già emessa sul token.

Esistono opzioni di firma senza token?

L'utilizzo del token con un certificato è sicuro, ma affatto pratico. Devi inserire una password ogni volta che firmi e questo impedisce di automatizzare la firma. Questo è un problema poiché sempre più alto numero di società di sviluppo software passano allo sviluppo che utilizza i principi CI/CD.

Fortunatamente, esiste un'opzione di firma creata proprio per queste esigenze. Si chiama Secure Software Manager e fa parte dell'ampia piattaforma DigiCert ONE. Ai nostri clienti gliela possiamo sia fornirla che provvedere l’aiuto con l'avviamento con Secure Software Manager.

Secure Software Manager utilizza il principio di hash signing e la firma avviene nel cloud DigiCert, dove si trova il certificato con la chiave privata. Eseguendo la firma, solo hash (impronta) del file firmato circola nel cloud; dopodiché è stato restituito, l'utilità di firma lo aggiunge all’applicazione che si firma. La comunicazione con il cloud DC avviene utilizzando le librerie preparate da DigiCert per tutte le piattaforme.

La firma nel cloud è il futuro. Grazie a questo la firma è notevolmente più sicura e veloce e i file firmati non devono circolare su Internet. Inoltre hai il controllo completo sulle coppie di chiavi che firmano e tutte le operazioni vengono attentamente registrate.


Ing. Jindřich Zechmeister
Specialista per i certificati SSL di sicurezza
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz