近期，CA/B论坛对普通（OV）代码签名证书的私钥存储方式做出了变更要求：证书密钥对必须在达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。

来源：CAB论坛 Ballot CSC-013截图

1、变更详情内容有哪些？

变更前：对于普通代码签名证书，上海CA获取到用户的CSR和私钥后，对用户的CSR进行数字签名后生成证书，再通过邮件的方式将证书发送给用户，无需硬件介质。EV代码签名证书则需要安全硬件介质。

变更后：自2022年11月15日起，购买普通代码签名证书将和EV代码签名证书一样，证书由上海CA签发并存储在预配置的USB Key上，再通过邮寄的方式将Key寄送给用户。

2、哪些证书会受到此次变更的影响？

此次规则更新影响重新签发或续费的代码签名证书，但不影响在11月15日前签发的代码签名证书。

3、变更后，硬件存储介质有哪些？

USB Key：上海CA要求使用特定的USB Key来存储代码签名证书和私钥，即支持4096位RSA的USB Key。

硬件安全模块HSM：用户可以使用自有的硬件安全硬件模块来存储证书和私钥，但需要向上海CA证明使用的设备符合要求，必须达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准，且支持密钥长度达到或超过3072位RSA加密算法。

代码签名服务和应用程序：用户不需任何物理设备或硬件令牌，只需要将证书和私钥存储在安全应用程序上。

近年来，由私钥泄漏导致的网络安全事件频发。例如2019年5月，三星SmartThings敏感的源代码、证书和密钥一起泄露，包含了iOS和Android应用的私有证书。此类泄漏事件也引起了微软等国际巨头的充分重视。

新规执行开始后，OV代码签名证书也将从“软证书”变为“硬证书”，其目的就是为了加强代码签名证书私钥的保护，有助于降低私钥泄漏的可能性。

代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告，保证代码完整性和不被恶意篡改，使软件开发者信息对下载用户公开可见，从而建立良好的软件品牌信誉度。

有了代码签名证书，你可以：

01 提升软件的下载、采用和发行率 

开发商所发行的代码程序或内容若通过代码签名验证可提升软件的下载、采用率和发行率。

02 消除windows“不明发布者” 

消除Internet Explorer以及Windows操作系统中弹出的「不明发布者」。

03 保护发行商的身份安全  

防止使用者下载到含有恶意档案的代码程序及内容。确保终端用户知道该软件是合法的，且该代码自发行以来没有被篡改过。

04 防止用户下载有害文件  

减少代码程序及内容出现错误讯息和安全性警告，建立品牌的信任关系。防止使用者下载到含有恶意档案的代码程序及内容。

标准代码签名证书只需要验证申请企业的基本信息、税务信息，验证成功后通过邮件等形式通常针对32/64位应用程序进行签名，防止各类杀毒软件的误报。需要较短的处理时间以及较低的成本、无法用于 LSA 和 UEFI 文件签名、无法用于内核模式驱动程序。

EV代码签名证书除了验证企业的基本信息、税务信息外，还对企业的经营地址、申请人身份进行审查，区别于标准代码签名的重要特点是支持Windows 10内核驱动文件签名和消除SmartScreen筛选器安全提醒，此外EV代码签名针对内核模式的驱动文件需要进行微软的交叉签名。

万维信EV增强型代码签名证书优势：

EV代码签名证书以标准代码签名证书的已有功能为基础，额外提供更高级别的保证，以确保软件发行者的身份正确且已得到验证。

■  更严格的审查流程：会验证有关开发者的更多信息，使恶意用户更难以冒充合法的开发者和获取伪造凭证。 

■  微软SmartScreen的即时声誉帮助开发者消除向最终用户发出的安全警告消息，更快地获得用户信任。