行业领导者决定在2023年6月1日前暂缓推出组织验证（OV）代码签名证书的新安全密钥存储要求。

之前我们解释了即将到来的变化，要求标准代码签名证书的私钥存储在经批准的硬件安全设备上。这一推出应该从11月15日开始生效（北美和南美用户为11月14日）。然而，正如生活中经常发生的那样，情况发生了变化（并继续发展）。

CA/B论坛已经决定将最后期限推迟到2023年6月1日，给证书颁发机构和证书用户更多的时间来更新他们的系统和流程。让我们快速看一下这些变化是什么，以及为什么要推迟它们。

让我们来讨论一下。

简要介绍一下CA/B论坛对签发和存储OV代码签名证书的新行业要求

• CA/B论坛的新要求影响新的/重新签发的IV和OV代码签名证书。CA/B论坛的代码签名基准要求（CSBR）3.1版中列出的变化规定了如何为个人验证（IV）和组织验证（OV）代码签名证书创建、存储、安装、更新和重新发布相应的私钥。
• 代码签名证书的证书签署请求（CSR）走的是渡渡鸟的路（对大多数用户而言）。你不需要为每个证书创建和提交证书签署请求（CSR）表格，你的签发CA通常会在他们那里处理证书和密钥生成过程。这与扩展验证（EV）代码签名证书的过程类似。
• 你使用的加密模块（硬件）必须符合特定的安全标准。不是任何安全的硬件都可以使用。你必须使用符合FIPS 140 Level 2/EAL 4+标准的安全硬件加密模块或签名服务来存储你的代码签名证书的敏感私钥。
  所有这些东西都旨在提高你的私钥的安全性。但是，如果这些变化是如此积极，为什么我们要推迟它们？

所有这些东西都旨在提高你的私钥的安全性。但是，如果这些变化是如此积极，为什么我们要推迟它们？

为什么这些变化会被推迟到2023年6月1日？

在CA/B论坛的公共邮件列表讨论中，微软的首席产品经理Ian McMillan解释说，对用户和CA来说，拟议的修改的最后期限 "太紧了"，他收到了很多电子邮件，对2022年11月15日的时间表表示担忧。虽然有一个积极的最后期限是很好的，但问题是这些要求将很难在如此短暂的时间内有效实施。

McMillan说，部分原因是与正在进行的全球供应链挑战和成本上升有关。这些因素使得大规模获得必要的硬件安全令牌变得很困难，特别是当你考虑到Keyfactor的报告，企业平均有25个代码签名证书，但只有一半（51%）将它们存储在硬件安全模块（HSM）中。

不出所料，几个CA的代表--DigiCert、Sectigo和Entrust--都认为推迟这一变化对CA和证书用户都有好处。因为代码签名是软件开发过程中不可或缺的一部分，证书用户有各种各样的系统和流程需要支持和/或更新。这给了他们时间来最终确定他们的流程，并把他们的工作做得井井有条。

下面是在CA/B论坛的CSCWG公共讨论列表上公布的投票结果，请看一下。

我是否必须等待进行密钥存储的改变？

如果你是那种积极主动，想马上开始实施改变的人，如果你有适当的密码硬件，你当然可以这样做。这样一来，你就不必等待和担心以后再这样做。联系你的证书供应商，看看你需要采取什么步骤来实现这一目标。

如果你像大多数公司一样，想利用延迟，那也是可以的。但只要确保给自己充足的时间，在计划的2023年6月1日最后期限到来之前做出改变。