Proteggi chiavi private
Best practice di firma codice: Genera e conserva chiavi private in modo sicuro
DigiCert consiglia agli sviluppatori di prendere le dovute precauzioni durante l’implementazione del loro processo di firma codice e la protezione delle chiavi private associate ai loro certificati di firma.
Raccomandazioni
Limita accesso a chiavi
Mantieni i controlli accesso a e gli account delle chiavi di firma codice e limita la loro distribuzione. Ciò aiuterà a prevedere una stretta responsabilità per l’uso della chiave.
Conserva fisicamente il dispositivo di conservazione chiave in un contenitore chiuso a chiave
Verifica che i dispositivi di conservazione chiave non vengano lasciati su scrivanie, cassetti senza chiusura o in punti in cui possono essere facilmente presi o copiati.
Conserva il dispositivo che contiene la chiave privata in un cassetto della scrivania chiuso a chiave, in un armadietto o in altro luogo inaccessibile dietro porte chiuse a chiave.
Usa una password forte per la chiave privata
Scegli una password forte per la chiave privata. Deve avere almeno sedici (16) caratteri che siano generati casualmente e che contengano lettere maiuscole, lettere minuscole, numeri e simboli per trasportare le chiavi private. Le parole del dizionario, le parole derivate da ID utente, le sequenze di caratteri comuni (ad es. “123456”), i nomi propri, i luoghi geografici, gli acronimi comuni, slang, i nomi di familiari, i compleanni, ecc. non devono essere usati.
Conservazione protetta della chiave privata
Conserva in modo sicuro una chiave privata usando un dispositivo crittografico certificato FIPS 140-2 di livello 2. L’esportazione della chiave privata non è consentita da questi dispositivi crittografici. La maggior parte di questi dispositivi include l’autenticazione con più fattori.
Certificato Test Signing e certificato Release Signing a confronto
Microsoft raccomanda l’uso di un certificato Test Signing separato per firmare il codice di prerilascio. Il certificato Test Signing deve essere attendibile solo nell’ambiente di test. I certificati Test Signing possono essere dei certificati autofirmati o possono arrivare da una CA di test interna.
Informazioni aggiuntive
Per ulteriori informazioni, Microsoft fornisce un documento di best practice sulla firma codice.