Øget nøgellængde for kodesigneringscertifikater fra 1 juni

7 maj 2021

CA/Brower-forummet har strammet kravene til kodesigneringscertifikater. Pr. 1. juni 2021 kræves en minimumsnøglestørrelse på 3072 bit. I øjeblikket er den mindste nøglestørrelse 2048 bit. Dette skyldes, at sikkerheden forbedres for bedre at kunne forberede sig på fremtidige teknologiske fremskridt, der giver mulighed for yderligere computerkraft. I denne artikel forklarer vi, hvad denne ændring betyder, og hvilken indvirkning den kan have på dine certifikater.

Hvorfor denne ændring?

Et kodesigneringscertifikat har i øjeblikket en maksimal gyldighed på 3 år. Desuden bruger kodesignering et tidsstempel, hvilket betyder, at signaturen forbliver gyldig, selv efter at certifikatet udløber. I praksis bruges kodesigneringscertifikater derfor normalt over en længere periode.

I løbet af denne længere periode kan teknologiske fremskridt gøre nøglerne i brug sårbare over for brute force-angreb. En løsning er at gøre disse certifikater fremtidssikrede ved at øge nøglestørrelsen. Certificate Authority Browser Forumet, partnerskabet mellem alle browsere og certifikatudstedere, har derfor besluttet at kræve en større nøglestørrelse på 3072 bit fra den 1. juni. Dette er i overensstemmelse med National Institute of Standards and Technology (NIST) anbefaling fra maj 2020 om at stoppe brugen af 2048-bit RSA-nøgler efter 2030.

Hvad er konsekvenserne for kodesigneringscertifikater og platforme?

  • Alle kodesigneringscertifikater udstedt efter 1. juni underskrives automatisk med 3072-bit rodcertifikater.
  • Alle kodesigneringsapplikationer fra 1. juni kræver et 3072-bit CSR og privat nøgle.
  • Alle kodesigneringscertifikater udstedt inden 1. juni 2021 fungerer fortsat som normalt. Det anbefales dog, især for certifikater med en længere varighed, at skifte dem til en 3072-bit nøgle ved genudstedelse.
  • Nogle (forældede) platforme understøtter ikke 3072-bit certifikater. I dette tilfælde kan du anmode om et certifikat med en 2048-bit nøgle inden den 1. juni. Efter denne dato er den eneste mulighed at opgradere dit miljø.

Hvad betyder nøgellængden?

Hvert certifikat består af et nøglepar, der bruges til signering og kryptering. Antallet af bits i dette nøglepar bestemmer, hvor meget computerkraft der kræves for at knække denne nøgle ved brute force-angreb. Den mindste nøgellængde for et kodesigneringscertifikat er i øjeblikket 2048 bit. Den mindste nøglelængde skifter regelmæssigt for at holde trit med computernes stigende computerkraft. Indtil for få år siden var det f. eks. ved 1024 bit. En 2048-bit nøgle er derfor ikke usikker, men det kan forventes, at den vil være knækbar i fremtiden. Den annoncerede ændring gør de aktuelle kodesigneringscertifikater fremtidssikrede.

Hvorfor kodesignering?

Kodesigneringscertifikater bruges af softwareudviklere til digitalt at underskrive produkter som applikationer, eksekverbare filer eller andre programmer. Formålet med at underskrive software er dobbelt: det giver slutbrugere en garanti for, at det program, de downloader, faktisk kommer fra skaberen af ​​softwaren ved at kontrollere organisationsnavnet i signaturen. Derudover giver signaturen en garanti for, at filen ikke er blevet ændret, efter at den er underskrevet, f. eks. at den ikke er blevet beskadiget af en tredjepart.

Spørgsmål?

Har du spørgsmål om at skifte til 3072-bit kodesigneringscertifikater? Tøv ikke med at kontakte os.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.

point up