Grotere sleutellengte code signing certificaten vanaf 1 juni

7 mei 2021

Het CA/Brower forum heeft de eisen voor code signing certificaten aangescherpt. Vanaf 1 juni 2021 is een minimale sleutellengte van 3072 bits vereist. Op dit moment is de minimale sleutelgrootte nog 2048 bits. De aanleiding hiervoor is het verbeteren van de beveiliging, om zo beter voorbereid te zijn op toekomstige technologische vooruitgang die extra rekenkracht mogelijk maakt. In dit artikel lichten we toe wat deze wijziging inhoud, en wat de mogelijke impact is voor je certificaten.

Waarom deze wijziging?

Een code signing certificaat heeft op dit moment een maximale geldigheidsduur van 3 jaar. Daarnaast wordt er bij code signing gebruik gemaakt van timestamping, waardoor de ondertekening ook na het verlopen van de geldigheidsduur van het certificaat geldig blijft. In de praktijk worden code signing certificaten dus meestal voor een langere periode gebruikt.

Tijdens deze langere periode kunnen door technologische vooruitgang de gebruikte sleutels kwetsbaar worden voor bruteforce-aanvallen. Een oplossing hiervoor is het toekomstbestending maken van deze certificaten door het vergroten van de keysize. Het Certificate Authority Browserforum, het samenwerkingsverband tussen alle browsers en Certificaatuitgevers, heeft daarom besloten vanaf 1 juni aanstaande een grotere sleutellengte van 3072 bits te vereisen. Dit is in lijn met het advies van het NIST (National Institute of Standards and Technology) van mei 2020 om na het jaar 2030 geen 2048-bits RSA sleutels meer te gebruiken.

Wat is de impact op code signing certificaten en platformen?

• Alle code signing certificaten die vanaf 1 juni worden uitgegeven, worden automatisch ondertekend door 3072-bits rootcertificaten.

• Voor alle code signing aanvragen vanaf 1 juni is een 3072-bits CSR en private key nodig.

• Alle code signing certificaten uitgegeven voor 1 juni 2021 blijven gewoon werken. Het advies is echter wel, vooral bij certificaten met een langere looptijd, deze via een heruitgifte te wijzigen naar een 3072-bit sleutel.

• Sommige (verouderde) platformen ondersteunen geen 3072 bits certificaten. In dit geval kun je voor 1 juni een certificaat aanvragen met een 2048 bits sleutellengte, na deze datum zal het upgraden van je omgeving de enige mogelijkheid zijn.

Wat betekent de sleutellengte?

Ieder certificaat bestaat uit een sleutelpaar dat wordt gebruikt voor ondertekening en versleuteling. Het aantal bits van dit sleutelpaar bepaalt hoeveel rekenkracht er nodig is om deze sleutel te kraken door middel van een brute force-aanval. Op dit moment is de minimale sleutellengte voor een code signing certificaat 2048 bits. De minimale sleutellengte verschuift regelmatig om bestand te blijven tegen de toenemende rekenkracht van computers, tot een aantal jaar geleden was dit bijvoorbeeld nog 1024 bits. Een 2048 bits sleutel is dus niet onveilig, maar de verwachting is dat deze in de toekomst kraakbaar wordt. De aangekondigde wijziging maakt de huidige code signing certificaten dus toekomstbestendig.

Waarom ook alweer codesigning?

Code signing certificaten worden gebruikt door softwareontwikkelaars voor het digitaal ondertekenen van producten, zoals applicaties, executables of andere programma's. Het ondertekenen van software heeft een tweeledig doel: het geeft eindgebruikers de garantie dat het programma dat ze downloaden daadwerkelijk afkomstig is van de maker van de software, doordat de naam van de organisatie in de handtekening te controleren is. Daarnaast geeft de ondertekening de garantie dat het bestand na ondertekening niet meer is gewijzigd, bijvoorbeeld corrupt gemaakt door een derde partij.

Vragen?

Heb je nog vragen over de overgang naar 3072 bits code signing certificaten? Neem dan even contact met ons op.