Kontaktujte nás: +420 603 196 637 (+420 603 1 ZONER) | djcechi@gmail.com

Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Změna v podepisování kernel-mode ovladačů

(22. 5. 2020) Vývojáři tvořící kód pro prostředí Windows byli dosud zvyklí používat pro podpis kódu a ovladačů důvěryhodné Code Signing (EV) certifikáty od DigiCertu. Microsoft však v příštím roce stávající praxi změní a vydávání certifikátů pro podepisování ovladačů sám převezme. Více informací o změně vám přinášíme v tomto článku.

Microsoft ukončí podporu pro podepisování ovladačů třetí stranou

Microsoft plánuje ukončit podporu pro podepisování kernel-mode ovladačů certifikáty třetí strany. Proces podepisování, na který jsou vývojáři zvyklí, se tak výrazně změní. Počínaje rokem 2021 bude Microsoft sám poskytovat produkční kernel-mode podpisy. Instrukce jak dále postupovat najdete v článku Partner Center for Windows Hardware (informace v době psaní článku ještě nejsou aktualizované).

Reakce ze strany DigiCertu

V první fázi DigiCert odstranil podporu "Microsoft  Kernel-Mode Code platform" z výběru platformy pro Code Signing certifikáty. Nelze již tedy vydat nový certifikát pro tuto platformu (tento účel použití) ani si ho prodloužit.
Současné Code Signing certifikáty pro tento účel můžete použít až do doby než expiruje kořenový certifikát podepsaný Microsoftem a DigiCertem (tzv. cross-signed certificate), což nastane v roce 2021. Kompletní přehled jejich expirace naleznete v článku DigiCert odkazovaném ve zdrojích.

U běžného podepisování se nic nemění

Výše zmíněné změny se týkají pouze podepisování ovladačů pro kernel-mode, což je poměrně specifický účel použití Code Signing certifikátů. Pro běžné podepisování aplikací pro Windows můžete nadále používat Code Signing a Code Signing EV certifikáty DigiCert, protože u tohoto běžného podepisování se nic nemění.

Zdroje:

  1. Microsoft sunsetting support for cross-signed root certificates with kernel-mode signing capabilities, dostupné online na DigiCert.com
  2. Deprecation of Software Publisher Certificates, Commercial Release Certificates, and Commercial Test Certificates. Dostupné na docs.microsoft.com.