Le nuove modifiche ai certificati code signing

Secondo gli attuali requisiti base relativi ai certificati code signing del CA/B forum, dallo scorso 1 giugno la lunghezza minima di una chiave RSA dovrebbe essere di 3072 bit e non più come in passato di 2048 bit. 

Come abbiamo modo di apprezzare in più occasioni il contesto della cybersicurezza è in continua evoluzione. La scelta di una chiave con lunghezza minima di 3072 bit è stata fatta, infatti, per far si che gli sviluppatori pubblichino software maggiormente sicuri.

In questo articolo capiremo cosa sono i certificati code signing e analizzeremo le ragioni che hanno portato alla modifica dei requisiti della lunghezza delle chiavi. Inoltre, vedremo come è possibile prepararsi al meglio a questo importante passaggio. Buona lettura!

I certificati di firma del codice sono certificati emessi da un’autorità di certificazione (CA), che garantiscono l’affidabilità, l’integrità e la provenienza di un codice o un software. In altri termini, un certificato code signing è una firma che garantisce che il codice provenga da una fonte affidabile e che non è sia stato modificato in seguito all’apposizione della firma stessa. 

Se non è presente alcun certificato o se la firma è manomessa, l’utente visualizza un alert che lo informa che il software non è sicuro. 

È poco probabile che gli utenti si fidino di un software che non dispone dei certificati appropriati. Senza un certificato code signing, infatti, è possibile apportare modifiche al codice, così che gli utenti potrebbero scaricare inconsapevolmente codice dannoso scritto da un cyber criminale che vuole rubare loro i dati.

Questo vuol dire che qualsiasi applicazione software utilizzata in combinazione con i programmi root più ampiamente accettati deve essere convalidata da un certificato di firma del codice, un po’ come accade con i certificati TLS / SSL di una CA affidabile sui siti Web. Infatti, proprio come i certificati TLS / SSL che garantiscono la comunicazione tra un utente e un sito web, i certificati code signing proteggono software, applicazioni e driver.

L’aggiornamento della lunghezza delle chiavi è stato introdotto per un motivo semplice: una chiave più lunga equivale a una firma digitale più forte e sicura. L’aumento della lunghezza è stato deciso in previsione che saranno necessari diversi anni prima che si possa disporre della potenza di calcolo necessaria per decifrarla.  

La modifica dei requisiti di lunghezza della chiave di firma del codice non è una novità. Infatti, qualche decennio fa venivano utilizzate chiavi a 1024 bit. Quest’ultime sono state poi abbandonate a favore di quelle a 2048 bit perché non più sicure. Oggi la storia si ripete.  Gli enormi progressi tecnologici, infatti, hanno reso vulnerabili anche le 2048 bit, tanto da far optare per un ulteriore cambio di lunghezza minima.  

L’aggiornamento dei requisiti di lunghezza minima della chiave a 3072 bit aumenta in maniera significativa il tempo necessario per decriptare la chiave. Questo vuol dire che i nuovi certificati code signing proteggeranno gli sviluppatori almeno per i prossimi dieci anni.  

Queste modifiche alla lunghezza delle chiavi sono giunte qualche tempo dopo l’annuncio di  Google di voler limitare la validità massima dei certificati TLS / SSL a 13 mesi. Man mano che aumenterà la potenza di calcolo, i certificati richiederanno chiavi più sicure e con termini di convalida più brevi. Ecco perché nel prossimo futuro sarà sempre più importante l’utilizzo  di un software per la gestione del ciclo di vita dei certificati automatizzato per garantire un ambiente sicuro per gli utenti.

Tutti i certificati emessi dopo il 1° giugno 2021 saranno aggiornati automaticamente in base ai nuovi standard del settore. Non sarà, infatti, necessario specificare una catena di fiducia a 3072 bit al momento dell’acquisto. In particolare, tutte le chiavi dei certificati di firma del codice GlobalSign avranno una lunghezza di 4.096 bit. 

Inoltre, a partire da ora, i certificati di firma del codice sono validi da uno a tre anni a seconda del ciclo di vita scelto e i certificati TLS / SSL, come detto più volte,  sono validi per 13 mesi.

Top SSL, rivenditore ufficiale GlobalSign, offre una vasta selezione di strumenti per la gestione dei certificati TLS / SSL per le aziende che vogliono garantire la sicurezza dei propri utenti, contrastare le minacce e gestire in maniera efficiente i costi relativi alla gestione dei certificati TLS / SSL. In caso di bisogno, Non esitare a contattarci.