Yazılım geliştiriciler yıllarca kod imzalama işlemleri için fiziksel USB token kullandı. Ancak bu dönem artık sona eriyor. CA/Browser Forum kuralları ve endüstri standartları, tüm kod imzalama sertifikalarının özel anahtarlarının HSM (Hardware Security Module) tabanlı sistemlerde saklanmasını zorunlu kıldı. Bu değişiklikle birlikte cloud kod imzalama sertifikaları yeni standart haline geldi.
Bu makalede, USB token döneminin neden sona erdiğini, cloud kod imzalama sertifikalarının nasıl çalıştığını ve geçiş sürecinde bilmeniz gereken her şeyi anlatıyoruz.
USB Token Dönemi Neden Sona Erdi?
USB token bazlı kod imzalama sistemi, onlarca yıl boyunca endüstri standardıydı. Ancak özellikle son yıllarda yaşanan güvenlik olayları ve değişen çalışma modelleri, bu sistemin yetersiz kaldığını ortaya koydu:
Güvenlik Açıkları
- Token kaybı veya çalınması: Fiziksel bir cihaz olarak USB tokenlar kaybolabilir veya çalınabilir. Bu durumda sertifika kötü niyetli kişilerin eline geçebilir.
- Yetkisiz paylaşım: Ekip içinde tokeni paylaşmak güvenlik risklerini artırır ve denetim izini kaybettirir.
- PIN brute force: Bazı eski token modellerinde PIN koruma mekanizmaları yeterli düzeyde değildi.
Operasyonel Zorluklar
- CI/CD uyumsuzluğu: Otomatik pipeline ortamlarında fiziksel token kullanmak pratik olarak imkansız.
- Uzaktan çalışma: Evden çalışan geliştiricilerin tokena fiziksel erişimi olmayabiliyor.
- Sürücü sorunları: Token sürücüleri farklı işletim sistemleri ve versiyonlarında uyumluluk sorunları yaşatabiliyor.
- Kargo ve lojistik: Uluslararası gönderilerde USB tokenlerin ulaşması haftalar sürebiliyor.
CA/Browser Forum Ne Değiştirdi?
CA/Browser Forum, dijital sertifika endüstrisinin düzenleyici kuruluşudur. 2023 yılında yürürlüğe giren yeni kurallar şunları zorunlu kıldı:
- Tüm kod imzalama sertifikalarının özel anahtarları en az FIPS 140-2 Level 2 sertifikalı bir donanım üzerinde saklanmalıdır.
- Yazılım tabanlı anahtar depolama tamamen yasaklanmıştır.
- Sertifika otoriteleri, anahtar oluşturma sürecinde HSM kullanımını doğrulamak zorundadır.
Bu kurallar, USB tokenları tamamen yasaklamaz ancak pratikte cloud HSM çözümlerini çok daha cazip hale getirir. Çünkü cloud HSM, FIPS 140-2 Level 3 standardını karşılar ve yukarıdaki tüm operasyonel sorunları çözer.
Cloud Kod İmzalama Sertifikaları Nasıl Çalışır?
Cloud kod imzalama sertifikalarında süreç şu şekilde işler:
| Adım | Açıklama | Süre |
|---|---|---|
| 1. Başvuru | Sertifika sağlayıcıdan cloud EV sertifikası için başvuru yapılır | 15 dakika |
| 2. Doğrulama | Şirket bilgileri ve kimlik doğrulaması yapılır | 3-7 iş günü |
| 3. HSM Aktivasyon | Özel anahtar cloud HSM üzerinde oluşturulur | Anında |
| 4. İstemci Kurulumu | İmzalama istemcisi veya API anahtarı alınır | 10 dakika |
| 5. İmzalama | Yazılımlar bulut üzerinden imzalanır | Saniyeler |
Hangi Cloud Kod İmzalama Platformları Mevcut?
Piyasadaki başlıca cloud kod imzalama platformları:
Certum SimplySign
Polonyalı Certum tarafından sunulan SimplySign, en uygun fiyatlı cloud imzalama çözümüdür. Mobil uygulama ile onay mekanizması, REST API desteği ve kolay kurulum sunar. Özellikle küçük ve orta ölçekli yazılım geliştiriciler için ideal bir seçenektir.
DigiCert KeyLocker
DigiCert KeyLocker, kurumsal seviyede güvenlik ve yönetim özellikleri sunar. Merkezi sertifika yönetimi, detaylı denetim günlükleri ve geniş CI/CD platform desteği ile büyük ekipler için en uygun çözümdür.
Sectigo CodeSignTrust
Sectigo CodeSignTrust, geniş uyumluluk ve rekabetçi fiyatlarıyla dikkat çeker. Windows, macOS ve çapraz platform imzalama desteği sunar.
GlobalSign HVCI
GlobalSign, HVCI (Hypervisor-Protected Code Integrity) uyumlu cloud imzalama çözümü ile özellikle Windows sürücü imzalama alanında öne çıkar.
USB Tokendan Cloud Sertifikaya Geçiş Rehberi
Mevcut USB tokenınız varsa cloud çözüme geçiş süreci şu şekildedir:
- Mevcut sertifika süresini kontrol edin: Sertifikanızın bitiş tarihine bakın. Yenileme zamanında cloud sertifikaya geçmek en pratik yoldur.
- İhtiyaç analizi yapın: CI/CD kullanıyor musunuz? Kaç kişi imzalama yapacak? Bu sorular doğru platformu seçmenize yardımcı olur.
- Sağlayıcı seçin: Bütçenize ve ihtiyaçlarınıza uygun bir cloud sertifika sağlayıcı belirleyin.
- Başvuru yapın: KodImzalama.com üzerinden uygun sertifikayı seçerek başvurunuzu yapın.
- İmzalama sürecinizi güncelleyin: Build scriptlerinizi ve CI/CD pipelineınızı yeni cloud imzalama yapısına göre güncelleyin.
Sıkça Sorulan Sorular (FAQ)
Mevcut USB tokenımı kullanmaya devam edebilir miyim?
Evet, token üzerinde aktif bir sertifikanız varsa süresi dolana kadar kullanmaya devam edebilirsiniz. Ancak yenileme zamanı geldiğinde cloud HSM çözümüne geçmeniz gerekecektir. Yeni alımlarda artık birçok sertifika otoritesi yalnızca cloud seçenek sunmaktadır.
Cloud kod imzalama internetsiz çalışır mı?
Hayır, cloud imzalama internet bağlantısı gerektirir. İmzalama işlemi sırasında dosya hash değeri cloud HSM sunucusuna gönderilir ve imzalanmış hash geri döner. Dosyanın tamamı gönderilmez, yalnızca hash değeri gider.
Cloud imzalama yavaş mı?
Hayır, modern cloud imzalama platformları son derece hızlıdır. Tek bir dosya imzalama işlemi genellikle 2-5 saniye sürer. CI/CD ortamında toplu imzalama için API tabanlı çözümler paralel işlem desteği sunar.
Cloud sertifika USB tokenden daha mı güvenli?
Evet, cloud HSM çözümleri FIPS 140-2 Level 3 sertifikalıdır ki bu USB tokenların desteklediği Level 2 standardından daha yüksektir. Ayrıca fiziksel kayıp riski ortadan kalkar, merkezi denetim ve erişim kontrolü sağlanır.
Birden fazla kişi aynı cloud sertifikayı kullanabilir mi?
Evet, bu cloud sertifikaların en önemli avantajlarından biridir. Yönetici, farklı kullanıcılara yetki atayabilir ve her kullanıcının imzalama işlemleri ayrı ayrı loglanır. Bu, kurumsal denetim ve uyumluluk açısından büyük bir avantajdır.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz