Allekirjoita koodi Code Signing-varmenteella
Tuottaako yrityksesi ohjelmistoja? Jos kyllä, tarvitset Code Signing -varmenteita, joiden avulla koodi allekirjoitetaan. Kun käyttäjä on asentamassa uutta ohjelmaa tietokoneelleen, asennusohjelmisto tarkistaa, onko koodi allekirjoitettu Code Signing -varmenteella. Jos ei ole, saa käyttäjä varoituksen siitä, että ohjelmistokoodin tuottaja on tuntematon ja ohjelman asentaminen on riskialtista.
Kun ohjelmisto on allekirjoitettu OV- tai EV-tason koodin allekirjoitusvarmenteella, on luotettava kolmas osapuoli (CA) verifioinut koodin tuottavan organisaation. Asennettavan ohjelman allekirjoitus varmenteella takaa myös sen, että kukaan ei ole muuttanut salaa koodia. EV-tason varmenne antaa enemmän tietoa ohjelmiston tuottajasta ja sen saaminen edellyttää myös tarkempaa organisaation verifiointia.
Wesentra toimittaa asiakkailleen luotettavia Entrustin Code Signing -varmenteita. Entrustin portaalia käyttävät asiakkaat voivat tuottaa ne itse ja muille varmenne voidaan toimittaa Wesentran omasta portaalista.
Kaksi tapaa allekirjoittaa koodia
Sääntöjen mukaan Code Signing -varmenne tulee aina asentaa turvalliselle HSM-laitteelle (Hardware Security Module), jonka erityispiirre on, että sille asennettua salaista avainta voidaan vain käyttää, sitä ei voida siirtää tai kopioida HSM-laitteelta pois.
Ohjelmiston tuottajalla on kuitenkin erilaisia tapoja allekirjoittaa koodia:
1. Code Signing -varmenne voidaan toimittaa muistitikun tyyppiselle HSM-tikulle (USB), jolla sijaitsee myös varmenteen salainen avain. Tikku on hyvä säilyttää turvallisessa paikassa, esimerkiksi kassakaapissa. Kun ohjelmakoodi pitää allekirjoittaa, laitetaan HSM-tikku palvelimeen tai työasemaan, tikku avataan salasanalla ja koodi allekirjoitetaan. Wesentralla HSM-tikun toimitus kuuluu Code Signing -varmenteen hintaan.
2. Toinen tapa on asentaa Code Signing -varmenne pilvessä olevalle HSM-alustalle, esimerkiksi Azure Key Vault -ratkaisuun. Jos koodi tuotetaan pilvessä, on tämä parempi ratkaisu kuin HSM-tikun käyttäminen.
Varmenteet
Oikeanlaisen varmenteen valintaan kannattaa kiinnittää huomiota. Mitä eroa eri varmennetyypeillä on?
Lue lisääVerifiointi
Kun olet ostanut varmenteen, käynnistyy siihen liittyvä organisaation verifiointiprosessi. Verifiointispesialistimme tekevät verifioinnin itse, mikä nopeuttaa varmenteen toimitusta huomattavasti. Lue, mistä verifioinnissa on kyse ja mitkä sen eri vaiheet ovat.
Lue lisääSaatat olla kiinnostunut myös näistä:
UKK – Entrust varmenneportaali
Helena Puttonen
Varmenteiden hallinnasta sekä portaalin käytöstä herää ajoittain kysymyksiä. Olemme koonneet tähän kirjoitukseen muutamia usein esiin nousseita aiheita vastauksineen.
Jatka lukemistaCode Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista
Harri Tuuva
Erilaisten tietoturvauhkien ja -hyökkäysten takia tietoturvan sääntöjä ja käytäntöjä on tiukennettu eri IT:n osa-alueilla viime vuosina. SSL/TLS varmenteiden osalta tämä on näkynyt mm. hash-algoritmien tiukentamisena […]
Jatka lukemista