DigiCert consiglia agli sviluppatori di prendere le dovute precauzioni durante l’implementazione del loro processo di firma codice e la protezione delle chiavi private associate ai loro certificati di firma.
Mantieni i controlli accesso a e gli account delle chiavi di firma codice e limita la loro distribuzione. Ciò aiuterà a prevedere una stretta responsabilità per l’uso della chiave.
Verifica che i dispositivi di conservazione chiave non vengano lasciati su scrivanie, cassetti senza chiusura o in punti in cui possono essere facilmente presi o copiati.
Conserva il dispositivo che contiene la chiave privata in un cassetto della scrivania chiuso a chiave, in un armadietto o in altro luogo inaccessibile dietro porte chiuse a chiave.
Scegli una password forte per la chiave privata. Deve avere almeno sedici (16) caratteri che siano generati casualmente e che contengano lettere maiuscole, lettere minuscole, numeri e simboli per trasportare le chiavi private. Le parole del dizionario, le parole derivate da ID utente, le sequenze di caratteri comuni (ad es. “123456”), i nomi propri, i luoghi geografici, gli acronimi comuni, slang, i nomi di familiari, i compleanni, ecc. non devono essere usati.
Conserva in modo sicuro una chiave privata usando un dispositivo crittografico certificato FIPS 140-2 di livello 2. L’esportazione della chiave privata non è consentita da questi dispositivi crittografici. La maggior parte di questi dispositivi include l’autenticazione con più fattori.
Microsoft raccomanda l’uso di un certificato Test Signing separato per firmare il codice di prerilascio. Il certificato Test Signing deve essere attendibile solo nell’ambiente di test. I certificati Test Signing possono essere dei certificati autofirmati o possono arrivare da una CA di test interna.
Per ulteriori informazioni, Microsoft fornisce un documento di best practice sulla firma codice.