Alle Code Signing Zertifikate ab dem nächsten Jahr auf Token. Was nun?

18.08.2022 | Jindřich Zechmeister

Ab Juni des nächsten Jahres ändern sich die Bedingungen der Ausstellung und Nutzung der OV Code Signing Zertifikate. Ihr privater Schlüssel wird auf einem Hardware-Token gespeichert sein müssen. In diesem Artikel erfahren Sie, wie sich diese Änderung auf die Nutzer auswirken wird und welche anderen Möglichkeiten es fürs Signieren geben wird.

Wie wird die Änderung die Nutzer der Code Signing Zertifikate beeinflussen?

Alle Zertifikate Code Signing ausgestellten nach dem 15.11.2022 01.06.2023 werden auf einem Token ausgestellt und distribuiert. Das ausgestellte Zertifikat wird also auf einem Token gespeichert und dieses erhalten Sie per Post. Dasselbe Token wird die signierende Person beim Signieren benötigen und bei jeder Signatur wird sie ein Passwort für die Entsperrung des Tokens eingeben müssen.

Die Änderung in der Ausstellung wird sich automatisch auswirken – nach der Ausstellung des neuen Zertifikats wird Ihnen das Token automatisch per Post zugeschickt. In der Verwaltung Ihres SSLmarket Accounts werden Sie dann ein Passwort für seine Entsperrung finden.

Der private Schlüssel zu dem Zertifikat wird sich aus dem Token nicht exportieren lassen und somit wird es auch nicht möglich sein, eine PFX Datei zu erstellen, wie früher. Die höhere Nutzungssicherheit wird jedoch mit einem niedrigeren Nutzungskomfort freigekauft, dem wir uns noch unten widmen.

Verlängern Sie das Zertifikat um drei Jahre und schieben Sie die Änderung auf

Für unsere Kunden haben wir einen Tipp, wie sie die Auswirkungen der Änderung aufschieben können. Wir empfehlen Ihnen, Ihr bestehendes Code Signing Zertifikat bis Mitte November um die längste Laufzeit von 3 Jahren zu verlängern, oder ein neues Zertifikat für drei Jahre zu kaufen. Das Problem werden Sie dadurch zwar nicht lösen, aber mindestens schieben Sie es auf und die kommenden drei Jahre werden Sie gleich wie bisher signieren können.

Beim Kauf des Zertifikats für mehrere Jahre werden Sie auch sparen, weil sich der Jahrespreis des Zertifikats erniedrigen wird. Sie werden nur darauf achten müssen, das Zertifikat mit dem privaten Schlüssel nicht zu verlieren, weil sie bei der Neuausstellung schon auf einem Token ausgestellt wären.

Ist es möglich, ohne das Token zu signieren?

Das Zertifikat zusammen mit dem Token zu nutzen ist zwar sicher, aber bei weitem nicht praktisch. Bei jeder Signatur muss ein Passwort eingegeben werden und dieses verhindert die Automatisierung in dem Signieren. Und das stellt ein Problem dar, denn immer mehrere Firmen, die eine Software entwickeln, gehen zur einer die CI/CD Prinzipen ausnutzenden Entwicklung über.

Glücklicherweise gibt es hier aber eine direkt für diesen Bedarf erstellte Variante. Sie heißt Secure Software Manager und ist ein Teil der Plattform DigiCert ONE. Gerne vermitteln wir für Sie diese Lösung und helfen Ihnen, mit dem Secure Software Manager anzufangen.

Der Secure Software Manager nutzt das Prinzip von Hash Signing aus und die Signierung erfolgt in der Cloud von DigiCert, wo das Zertifikat mit dem privaten Schlüssel gespeichert ist. Beim Signieren wird in die Cloud nur der Hash (Abdruck) der signierten Datei übertragen. Nach seiner Rückkehr fügt ihn das signierende Utility der signierten Applikation hinzu. Die Kommunikation mit der DC Cloud erfolgt mittels Bibliotheken, die DigiCert für alle Plattformen bereit hat.

Signieren mit der Cloud ist Zukunft. Das Signieren wird dadurch deutlich sicherer, schneller und die signierten Dateien müssen nicht durchs Internet wandern. Ebenfalls haben Sie eine völlige Kontrolle über die signierenden Schlüsselpaare und alle Operationen werden sorgfältig geloggt.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de