證書機構(CA)正加大努力使代碼簽名證書規範化,從而確保應用程序的安全性。
在現代IT環境中,有大量不同的方式可以用來確保應用程序的安全性。其中一個就是從源頭開始,讓應用程序開發者對他們的代碼進行數字簽名,從而確保給定的應用程序的完整性和真實性。
證書頒發機構安全理事會(CASC)在積極宣傳,提高代碼簽名意識。CASC成立於2013年2月,是一個包含全球各大領先證書機構(CA)的行業組織。
CA是頒發和管理安全證書的組織,安全證書主要用於安全套接層(SSL)加密和應用程序代碼簽名。CASC還與CAB論壇進行了合作,後者是集結了CA和web瀏覽器供應商的組織。
代碼簽名(https://www.bisend.cn/code-signing-ssl-certificate)背後的基本思想是,軟件開發者使用CA簽發的有效證書對應用程序進行簽名。CA的作用是驗證證書是否授予給了真實的應用程序。如果應用程序在之後遭到了攻擊並被認爲是惡意的,那麼CA應該撤銷該證書。如果系統按其要求正常運行,一旦CA撤銷了該證書,惡意應用程序將不能正常運行。
代碼簽名之前沒有得到廣泛採用的原因之一,可能是因爲,迄今爲止,關於CA代碼簽名基礎設施和流程如何工作等問題上,沒有設置最低基線標準。DigiCert副總法律顧問Jeremy Rowley告訴eWEEK ,CAB論壇正在起草一份有關代碼簽名證書基準要求的公開草案。
Rowley表示:“代碼簽名有助於阻止人們把病毒添加到現有軟件中,然後再像他是合法軟件一樣重新分發它。”
當下,攻擊者可以對自己的應用程序進行自簽名,這也是CA想要避免的另一個風險。使用自簽名證書,即簽署證書的個人證明代碼的有效性和真實性,而無需第三方機構審覈或驗證。在CA模型中,CA機構是完整性和真實性的控制點。
Entrust證書服務主管Bruce Morton向eWEEK解釋,當代碼被認爲是惡意的情況下,使用CA簽發的證書,可以確定對代碼進行簽名的個人身份,這點是十分有幫助的。
Morton說:“如果你的CA頒發的證書遭到濫用,你就可以撤銷這些證書。”
在現有的安全證書瀏覽器模型中,web瀏覽器和CA維護着證書撤銷列表(CRL),並使用包括在線證書狀態協議(OCSP)在內的協議來檢查證書的有效性。