ベストプラクティス 02-02-2021

コードサイニング証明書とSSL/TLS証明書について、知っておくべき全ての事

デジサート

コードサイニング証明書は、コードが改ざんされないことを保証するものです。悪意のあるコードの改ざんを防ぎ、エンドユーザーを保護します。

同様に、TLS/SSL certificatesは、ブラウザやユーザーのコンピュータとサーバやウェブサイトの間に暗号化された接続を確立し、エンドユーザーを保護します。

しかし、これらは同じものではなく、互換的に使用することはできません。

コードサイニング証明書とは何ですか?

コードサイニング証明書は、ソフトウェアの開発者や発行者を認証し、ソフトウェアが改変されていないこと、または侵害されていないことを保証するために使用されます。ソフトウェア開発者は、コードサイニング証明書を使用して、アプリケーション、ドライバ、実行ファイル、ソフトウェアプログラムにデジタル署名することで、エンドユーザーが受け取るコードが第三者によって侵害されていないことを確認することができます。署名、組織名、必要に応じてタイムスタンプを入れています。

SSL/TLS証明書とは何ですか?

SSL (secure sockets layer) とは、ウェブサイトとブラウザの間(または2つのサーバの間)で送信されるデータを暗号化することで、インターネット接続の安全性を確保する標準的な技術です。SSL証明書は、個人情報や財務データなど、転送された情報をハッカーに見られたり盗まれたりすることを防ぎます。

TLS(トランスポート・レイヤー・セキュリティ)は、SSLの安全性を高めるための最新の技術です。セキュリティ証明書は、一般的な用語であるため、いまだにSSLと呼ばれることもありますが、デジサートで購入すると、最も信頼できる最新のTLS証明書を入手することができます。

TLS証明書をコードサイニングに使用できますか?

TLS証明書をコードサイニングに使用することはできません。コードサイニング用の証明書とTLS用の証明書を別々に使用する必要があります。

コードサイニング証明書とTLS証明書の違い

コードサイニング証明書はソフトウェアの暗号化に使用されるのに対し、TLS証明書はウェブサイトの接続を暗号化するために使用されます。しかし、どちらもエンドユーザーや組織を守るために使用されます。

これらの証明書を使用しないと、サービスが利用できなくなる可能性がある旨の警告メッセージが、エンドユーザーに表示されます。

  • ユーザーがコードサイニング証明書で署名がされていないソフトウェアをダウンロードしようとすると、フラグが立てられ、警告メッセージがポップアップ表示されます。
  • ユーザーがSSL/TLS証明書のないウェブサイトにアクセスすると、ブラウザはURLの横に「保護されていない通信」「安全ではありません」というメッセージを表示します。
コードサイニング証明書は必要ですか?

ソフトウェアやアップデートを展開する際には、知的財産の保護、エンドユーザーの保護、業界やプラットフォームの要件を満たすために、コードサイニング証明書が必要です。

コードサイニング証明書は、コードが改ざんされていない本物であることをお客様に確認していただくためのもので、詐欺、マルウェア、盗難からあなたとお客様の両方を守ります。お客様は、ソフトウェアをダウンロードする際に、スムーズでプロフェッショナルなインストールプロセスを期待しています。デジタル署名されたプログラムは、ダウンロードやインストール時の警告メッセージを回避することができ、より安心したインストールが可能になります。

さらに、ソフトウェアを配布するパートナー、チャネル、プラットフォームは、お客様のデータを保護することを期待するとともに、コード署名のベストプラクティスを要求または期待しています。

コードサイニング証明書の種類

デジサートでは、コードサイニング証明書EVコードサイニング証明書の両方を提供しています。コードサイニング証明書は、暗号化されたデジタル署名を提供するものですが、EV認証(EV)コードサイニング証明書は、デジタル署名されたコードの標準的な利点に加えて、厳格な審査プロセスと二要素認証のセキュリティ要件を備えているため、ユーザーはアプリケーションの完全性に対してより大きな信頼を持つことができます。さらに、Microsoft Defender SmartScreen Reputationフィルタでは、EVコードサイニング証明書を使用することで自動的に信頼できるステータスを取得するため、警告メッセージを減らし、エンドユーザーの信頼を高めることができます。

コードサイニング証明書の管理方法

適切に管理されていない場合、コードサイニングはビジネスに大きなリスクをもたらします。SolarWinds社の製品に対する攻撃のようなインシデント(事件)は、不適切に実装されたコード署名作業がもたらす結果例です。

調査によると、ITセキュリティ専門家の半数以上が、サイバー犯罪者がコードやアプリケーションに署名するための証明書を盗んだり偽造したりすることを懸念していますが、コード署名ポリシーを一貫して実施している組織は、3分の1以下です。コードサイニングの管理をよりシンプルにするために、デジサートは、今日の組織に革新的なソリューションを提供します。

DigiCert ONESecure Software Managerは、ポータブルで柔軟な展開モデルと安全な鍵管理を備えた継続的インテグレーション/継続的デリバリー(CI / CD)パイプライン全体の自動セキュリティを有効にすることにより、コード署名を管理する最新の方法です。Secure Software Managerは、プライベート署名、オンデマンドキー、ローテーションキーのための署名ごとのユニークキーや証明書など、コード署名のベストプラクティスをサポートしています。Secure Software Managerは、Docker、Microsoft Authenticode、Java、OpenSSL、Androidなど、一般的なプラットフォームやライブラリに対応しています。Secure Software Managerを使用することで、組織は製品開発プロセスにコードを容易に統合することができ、同時に暗号操作、署名活動、管理を制御された監査可能な方法で委任することができます。

UP NEXT

特集記事

ユーザーの受信トレイに貴社のロゴを表示する:VMC GMAIL PILOTから学べるヒント

10-27-2021

デジサートのPKIオートメーション調査から見えてきた3つのこと

証明書のピンニングはやめましょう