Code Signing Zertifikate endlich geregelt

26.01.2017 | Petra Alm

Code Signing Zertifikate für das Signieren von Codes waren die einzigen Zertifikate, deren Ausstellung ohne Regeln erfolgte. Dies hat sich jedoch nun geändert und das Versäumnis wurde nachgeholt. Große Zertifizierungsstellen haben sich zu der Einhaltung des Dokumentes Minimum Requirements verpflichtet, das die Vorgehensweisen für die Verifizierung der Antragsteller vereinheitlicht und sog. Best practices für die Anwendung der Code Signing Zertifikate empfiehlt.

Regeln als Ergebnis der Zusammenarbeit zwischen Microsoft und den Zertifizierungsstellen

Mit den überhaupt ersten Regeln für die Ausstellung von Code Signing Zertifikaten kommt der Verband Certificate Authority Security Council (CASC), der, wie der Name verrät, große Zertifizierungsstellen vereint. An der Erstellung von Minimim Requirements für Code Signing Zertifikate war auch Microsoft beteiligt. Der Grund besteht darin, dass die Mehrheit der ausgestellten Code Signing Zertifikate gerade für diese Plattform bestimmt ist, deren Marktanteil 90 % erreicht. Nach Microsofts Vorstellungen sollten sich die Zertifizierungsstellen ab dem 1. Februar 2017 nach den neuen Regeln richten.

Zur Festlegung der Regeln führte vor allem die notwendige Vereinheitlichung der diversen Einstellungen der CAs zu den Antragstellern und verschieden strenge Bedingungen für den Erwerb des Zertifikats. Fälle, in welchen der Antragsteller von einer Zertifizierungsstelle abgelehnt worden ist und von der zweiten das Zertifikat auf Anhieb erhalten hat, haben keinen guten Eindruck gemacht.

Die Regeln finden Sie in dem Dokument Minimum Requirements for Code Signing Certificates auf dem Web von CASC.

Wie sollten die Code Signing Zertifikate richtig genutzt werden?

Zu dem erwähnten Dokument gehören auch die sog. Best practices – Empfehlungen vonseiten der CA für eine richtige und sichere Nutzung der Zertifikate. Das Hauptprinzip einer sicheren Arbeit mit dem Code Signing Zertifikat besteht im Schutz des privaten Schlüssels. Mit einem entwendeten privaten Schlüssel könnte der Angreifer eigene Anwendungen signieren - dass diese schädlich sind und eine Malware enthalten muss nicht betont werden.

Zusammen mit den neuen Regeln empfiehlt CASC:

  • Einen starken Schutz der privaten Schlüssel: Am besten mit der Einrichtung HSM (hardware security module), die dem Standard FIPS 140-2 Level 2 entspricht. In dieser Hardware Einrichtung sind die Schlüssel sicher gespeichert und deshalb ist sie für den Schutz des Zertifikats mehr als geeignet, denn der private Schlüssel darf nie in unbefugte Hände kommen. Die meisten Fälle von Missbrauch der Code Signing Zertifikate werden gerade durch einen ungenügenden Schutz des Zertifikats und des privaten Schlüssels verursacht.

  • Möglichkeit eines Widerrufs: Den Widerruf von Zertifikaten fordert meistens ein Forscher, der eine mit dem Zertifikat signierte Malware entdeckt hat, oder Microsoft selbst. Inhaber eines solchen Zertifikates sollten ihr Code Signing bei jeder Andeutung eines Verdachts widerrufen.

  • Verbessertes Time stamping: Time stamping, also Erweiterung der Signatur um einen Zeitstempel, ist äußerst wichtig. CACS bemüht sich, den bestehenden unerfreulichen Stand zu verbessern und fordert die Zertifizierungsstellen zu eigenen Time stamp Servern auf, die ihre Kunden nutzen könnten. 

Schauen wir uns die einzelnen Tipps genauer an:

Falls eine teure Lösung wie HSM für Sie nicht in Frage kommt, können Sie die Sicherheit Ihrer Signatur mit einem EV Code Signing Zertifikat steigern. Dieses ist auf einem USB Token gespeichert und dessen Diebstahl physisch durchgeführt werden müsste. Aber auch in diesem Fall wäre die Gefahr, dass das Zertifikat missbraucht wird, sehr gering, denn der Angreifer müsste Ihr Passwort zu dem Token erraten, wobei sich das Token nach fünf falschen Passwort-Eingaben blockiert.

Falls Sie das Zertifikat widerrufen möchten, wenden Sie sich an Ihren Zertifikatsanbieter, oder direkt an die Zertifizierungsstelle. Nach der Autorisierung einer solchen Anforderung wird das Zertifikat komplett ungültig gemacht, kann nicht mehr genutzt werden und es wird ein neues  ausgestellt. Zu der Überprüfung der Gültigkeit von Zertifikaten oder ihres Widerrufes dient das Protokoll OCSP, dank dem der Client oder Operationssystem mit einer Anfrage an den OCSP-Server der CA gleich erfahren kann, ob das Zertifikat noch immer gültig ist.

Der Zeitstempel sollte unter allen Umständen einen Bestandteil der Signatur darstellen. Dank ihm bleibt die unterschriebene Anwendung auch nach dem Ablaufdatum des Zertifikats gültig. Wenn ein Besucher von Ihrem Web eine App erst nach dem Verfallsdatum des ursprünglichen Zertifikats herunterlädt, passiert nichts, die Anwendung wird auch weiterhin mit einer vertrauenswürdigen Signatur ausgestattet, denn in dem Moment des Signierens war das Zertifikat gültig und das Datum ist in dem Zeitstempel aufgeführt.

Unterschreibung von Anwendungen ist nötig, aber einfach

Falls Sie Anwendungen entwickeln und programmieren, kann für Sie die Absicherung der App und der Zertifikatseinkauf zusätzliche Arbeit bedeuten. Sie könnten auch zu der Meinung kommen, dass es sich um einen zeitaufwendigen und komplizierten Prozess handelt. Das stimmt aber nicht – dank SSLmarket können Sie das Zertifikat sehr einfach erwerben. Wir helfen Ihnen auch mit dessen Einsetzung. Unter herkömmlichen Bedingungen lassen sich die Signaturen zwar nicht automatisieren, aber auch trotzdem handelt es sich um einen schnellen Vorgang und dank Zeitstempel genügt Ihnen eine und dieselbe Signatur auch für die Zukunft.

CACS hat für die Nutzer von Code Signing Zertifikaten ein Dokument bereitgestellt, das ihnen ihre Funktionen erklärt und Basiswissen vermittelt. Das Code Signing Whitepaper finden Sie als PDF in diesem Link oder durch Klick auf das unten stehendes Bild.

CASC Code Signing Whitepaper

Quelle:

CA Security Council. Leading Certificate Authorities and Microsoft Introduce New Standards to Protect Consumers Online.

 


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de