DigiCert raadt ontwikkelaars aan voorzorgsmaatregelen te nemen bij het implementeren van hun code-ondertekeningsproces en bij het beveiligen van de persoonlijke sleutels die zijn gekoppeld aan hun ondertekeningscertificaten.
Behoud de toegangscontrole tot en de verantwoording van Code Signing-sleutels en beperk de verspreiding ervan. Dat helpt om strikte aansprakelijkheid af te dwingen voor het gebruik van sleutels.
Zorg ervoor dat opslagapparaat voor sleutels niet op bureaus of in niet-afgesloten lades worden achtergelaten, of waar ze gemakkelijk kunnen worden meegenomen of gekopieerd.
Bewaar het apparaat met de persoonlijke sleutel in een afgesloten bureaulade, kast of achter gesloten deuren.
Kies een sterk wachtwoord voor de persoonlijke sleutel. We vereisen minimaal zestien (16) willekeurig gegenereerde tekens die hoofdletters, kleine letters, cijfers en symbolen bevatten om persoonlijke sleutels over te dragen. Woorden in een woordenboek, afgeleiden van gebruikers-ID's, veelvoorkomende tekenreeksen (zoals 123456), eigennamen, geografische locaties, gemeenschappelijke acroniemen, jargon, namen van familieleden, verjaardagen, enz. moeten niet worden gebruikt.
Sla een persoonlijke sleutel veilig op met een FIPS 140-2 Level 2-gecertificeerd cryptografisch apparaat. Het exporteren van de persoonlijke sleutel is niet toegestaan door deze cryptografische apparaten. De meeste van deze apparaten zijn uitgerust met meervoudige verificatie.
Microsoft raadt aan om een afzonderlijk Test Signing-certificaat te gebruiken om prerelease-code te ondertekenen. Het Test Signing-certificaat mag alleen worden vertrouwd in de testomgeving. Test Signing-certificaten kunnen een zelfondertekend certificaat zijn of afkomstig zijn van een interne test-CA.
Voor meer informatie biedt Microsoft een document met aanbevolen procedures over het ondertekenen van code.