Změna v podepisování kernel-mode ovladačů

22. 5. 2020 | Jindřich Zechmeister

Vývojáři tvořící kód pro prostředí Windows byli dosud zvyklí používat pro podpis kódu a ovladačů důvěryhodné Code Signing (EV) certifikáty. Microsoft však změní stávající praxi a sám prevezme vydávání certifikátů pro podepisování ovladačů. Více informací o změně vám přinášíme v tomto článku.

Microsoft ukončí podporu pro podepisování ovladačů třetí stranou

Microsoft plánuje ukončit podporu pro podepisování kernel-mode ovladačů certifikáty třetí strany. Proces podepisování, na který jsou vývojáři zvyklí, se tak výrazně změní. Počínaje rokem 2021 bude Microsoft sám poskytovat produkční kernel-mode podpisy. Instrukce jak dále postupovat najdete v článku Partner Center for Windows Hardware (informace v době psaní článku ještě nejsou aktualizované).

Reakce ze strany DigiCertu

V první fázi DigiCert odstranil podporu "Microsoft  Kernel-Mode Code platform" z výběru platformy pro Code Signing certifikáty. Nelze již tedy vydat nový certifikát pro tuto platformu (tento účel použití) ani si ho prodloužit.
Současné Code Signing certifikáty pro tento účel můžete použít až do doby než expiruje kořenový certifikát podepsaný Microsoftem a DigiCertem (tzv. cross-signed certificate), což nastane v roce 2021. Kompletní přehled jejich expirace naleznete v článku DigiCert odkazovaném ve zdrojích.

U běžného podepisování se nic nemění

Výše zmíněné změny se týkají pouze podepisování ovladačů pro kernel-mode, což je poměrně specifický účel použití Code Signing certifikátů. Pro běžné podepisování aplikací pro Windows můžete nadále používat Code Signing a Code Signing EV certifikáty DigiCert, protože u tohoto běžného podepisování se nic nemění.

Zdroje:

  1. Microsoft sunsetting support for cross-signed root certificates with kernel-mode signing capabilities, dostupné online na DigiCert.com
  2. Deprecation of Software Publisher Certificates, Commercial Release Certificates, and Commercial Test Certificates. Dostupné na docs.microsoft.com.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz