Kod imzalama sertifikası dünyasında büyük bir dönüşüm yaşanıyor. CA/Browser Forum tarafından belirlenen yeni kurallar, tüm kod imzalama sertifikalarının anahtar yönetimini kökten değiştirdi. Artık yazılım tabanlı anahtar depolama geçmişte kaldı ve HSM tabanlı sistemler zorunlu hale geldi. Bu durum, Cloud EV sertifikaları yazılım güvenliğinin yeni standardı haline getirdi.
Ne Değişti? CA/Browser Forum Yeni Kuralları
CA/Browser Forum, dijital sertifika endüstrisinin en yetkili düzenleyici kuruluşudur. Microsoft, Google, Apple, Mozilla gibi tarayıcı üreticileri ve Sectigo, DigiCert, GlobalSign gibi sertifika otoritelerinden oluşur. Bu kuruluşun aldığı kararlar, tüm sektörü doğrudan etkiler.
1 Haziran 2023 tarihinden itibaren yürürlüğe giren temel değişiklikler:
| Kural | Eski Durum | Yeni Durum |
|---|---|---|
| Anahtar Depolama | Yazılım tabanlı kabul ediliyordu | HSM zorunlu (FIPS 140-2 Level 2+) |
| Anahtar Oluşturma | Kullanıcı kendi oluşturabiliyordu | HSM üzerinde oluşturulmalı veya CA tarafından doğrulanmalı |
| Sertifika Süresi | 3 yıla kadar | Maksimum 3 yıl (değişiklik yok) |
| Doğrulama Süreci | OV/EV | OV/EV (değişiklik yok, ancak HSM kanıtı eklendi) |
| Timestamp Zorunluluğu | Önerilen | Şiddetle öneriliyor |
Cloud EV Neden Zorunlu Hale Geldi?
Tedarik Zinciri Saldırıları Arttı
Son yıllarda SolarWinds, Codecov ve Kaseya gibi büyük tedarik zinciri saldırıları, kod imzalama güvenliğinin ne kadar kritik olduğunu gözler önüne serdi. Bu saldırılarda, çalınan veya ele geçirilen kod imzalama anahtarları kullanılarak zararlı yazılımlar güvenilir yazılım gibi dağıtıldı.
Cloud HSM tabanlı sistemlerde özel anahtar hiçbir zaman HSM dışına çıkmaz. Bu, anahtarın çalınma riskini pratik olarak sıfıra indirir.
Microsoft ve Apple Kuralları Sıkılaştırdı
Microsoft, Windows SmartScreen algoritmasını güncelledi ve EV kod imzalama sertifikası ile imzalanan yazılımlara anında güven puanı vermektedir. Ayrıca Windows 11 sürücü imzalama politikaları, HVCI uyumlu sertifika zorunluluğu getirdi.
Apple ise macOS Notarization sürecini sıkılaştırarak tüm dağıtılan uygulamaların hem imzalanması hem de Apple sunucuları tarafından notarize edilmesini zorunlu kıldı.
Sigorta ve Uyumluluk Gereksinimleri
Siber güvenlik sigortası sunan şirketler, artık müşterilerinden kod imzalama süreçlerinde HSM kullanımı talep etmektedir. Ayrıca SOC 2, ISO 27001 ve PCI DSS gibi uyumluluk çerçeveleri, anahtar yönetimi konusunda daha katı gereksinimler belirlemiştir.
Bu Değişiklik Kimleri Etkiliyor?
Yeni kurallar aşağıdaki tüm yazılım geliştiricileri doğrudan etkiler:
- Windows uygulama geliştiricileri: .exe, .msi, .dll dosyaları imzalayan herkes
- Sürücü geliştiricileri: Windows kernel-mode ve user-mode sürücü imzalama
- macOS geliştiricileri: .app, .pkg, .dmg imzalama ve notarization
- Java geliştiricileri: JAR dosyası imzalama
- Mobil uygulama geliştiricileri: Android APK imzalama
- Kurumsal IT departmanları: İç yazılımların imzalanması
- Açık kaynak proje yöneticileri: Release dosyalarının imzalanması
Geçiş Süreci: Ne Yapmalısınız?
- Mevcut sertifikalarınızı denetleyin: Aktif kod imzalama sertifikalarınızın listesini çıkarın, bitiş tarihlerini kontrol edin.
- Anahtar depolama yönteminizi gözden geçirin: Yazılım tabanlı (PFX dosyası) anahtar kullanıyorsanız, en kısa sürede HSM tabanlı çözüme geçmelisiniz.
- Cloud HSM sağlayıcısı seçin: İhtiyaçlarınıza ve bütçenize uygun bir cloud kod imzalama platformu belirleyin.
- CI/CD entegrasyonunu planlayın: Otomatik build süreçlerinizi yeni cloud imzalama yapısına göre güncelleyin.
- Geçiş testleri yapın: Üretim ortamına geçmeden önce test ortamında cloud imzalamayı deneyin.
Cloud kod imzalama sertifikası satın almak ve detaylı bilgi almak için KodImzalama.com sayfasını ziyaret edin.
Sıkça Sorulan Sorular (FAQ)
Yazılım tabanlı kod imzalama sertifikası artık kullanılamaz mı?
1 Haziran 2023 tarihinden itibaren yeni düzenlenen tüm kod imzalama sertifikaları için özel anahtarın HSM üzerinde saklanması zorunludur. Mevcut yazılım tabanlı sertifikalar süresi dolana kadar kullanılabilir, ancak yenileme ve yeni alımlarda HSM zorunluluğu geçerlidir.
HSM zorunluluğu sadece EV sertifikaları mı etkiliyor?
Hayır, HSM zorunluluğu tüm kod imzalama sertifika türlerini kapsar. OV (Organization Validation) ve IV (Individual Validation) sertifikaları da dahil olmak üzere tüm kod imzalama sertifikalarının özel anahtarları HSM üzerinde oluşturulmalı ve saklanmalıdır.
Kendi HSM cihazımı kullanabilir miyim?
Evet, kendi fiziksel HSM cihazınızı (örneğin Thales Luna, Utimaco) kullanabilirsiniz. Ancak HSM cihazının FIPS 140-2 Level 2 veya üzeri sertifikalı olması ve sertifika otoritesine bunu kanıtlamanız gerekmektedir. Cloud HSM çözümleri bu süreci otomatize eder.
Bu değişiklik açık kaynak projelerini de etkiliyor mu?
Evet, açık kaynak projeler de dahil olmak üzere tüm kod imzalama sertifikaları yeni kurallara tabidir. Ancak SignPath gibi platformlar açık kaynak projeler için ücretsiz veya indirimli kod imzalama hizmeti sunmaktadır.
Geçiş süreci ne kadar sürer?
Cloud sertifikaya geçiş, sertifika başvurusu ve EV doğrulama dahil genellikle 1-2 hafta sürer. Teknik entegrasyon ise kullandığınız platforma bağlı olarak birkaç saat ile birkaç gün arasında tamamlanabilir.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz