一、行业新规：代码签名证书私钥保护升级

　　从2023年6月1日起，代码签名证书行业执行了新规。CA/B论坛要求，普通(OV)代码签名证书的私钥存储方式必须升级，证书密钥对必须在达到FIPS 140-2 Level2或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储，与EV代码签名证书的私钥保护机制保持一致。也就是说，现在不论OV还是EV代码签名证书，私钥都必须存放在符合高安全标准的硬件设备里，不再支持纯软件方式存放。这一变化旨在最大限度地降低私钥泄露的可能性，提升代码签名整体安全性。

　　二、硬件安全模块：专业服务商的标配

　　简单说，硬件安全模块(HSM)是一种物理计算设备，它保护和管理数字密钥，用于强身份验证并提供加密处理。HSM通过把加密密钥存储在一个加固的、防篡改的设备里，来实现安全管理的目的，同时提供高性能的运算。一旦外界想要强行获取HSM内的密钥，密钥就会自动销毁，从而确保敏感信息万无一失。

　　FIPS 140-2标准将密码模块分为四个安全级别，其中Level2要求具备明显的防篡改外壳、封条或防撬锁等物理安全机制，以及基于角色的认证。而CC EAL4+认证则意味着产品通过了严格的功能安全测试和独立评估，在防篡改、密钥管理、身份认证等方面达到了国际认可的高标准。因此，一家专业的代码签名证书服务商，其背后必然有符合FIPS 140-2 Level2和CC EAL4+(甚至更高)认证的硬件安全模块作为支撑。

　　三、安策代码签名服务：本土专业之选

　　安策具备高安全合规能力，私钥全生命周期在通过 FIPS 140-2 Level3 与 CC EAL4 + 认证的 HSM 中统一管理，从根源杜绝私钥泄露风险;同时支持本地化 HSM 部署与云端 HSM 服务两种灵活部署模式，可充分满足不同客户在数据主权与使用便捷性方面的差异化需求。我们拥有 20 余年数据安全行业经验，累计服务超 2000 家客户，其中包含 130 家世界 500 强企业，专业技术团队可提供从证书申请、集成部署到后期运维的全流程专业技术支持。此外，安策不仅提供代码签名证书服务，还覆盖敏感数据脱敏、身份认证、漏洞扫描、源代码审计等全方位安全能力，可为客户打造一站式、一体化的整体安全解决方案。

　　四、如何选择适合的代码签名证书服务商?

　　面对市场上众多代码签名证书服务商，挑选专业且适配自身需求的机构可从五大维度考量：优先选择拥有 FIPS 140-2 Level2 及以上、CC EAL4 + 等国际权威认证的服务商，同时考察品牌信誉、主流平台根证书预埋情况与市场认可度，评估中文技术支持、签发及售后响应等本地化服务能力，了解其在金融、政务、物联网等行业的落地经验，有综合安全需求的企业还可选择提供一站式安全方案的服务商，减少多供应商对接的繁琐流程。

　　代码签名证书作为软件安全的“数字身份证”，其服务商的专业程度直接关系到软件发布的安全性和可信度。无论是国际巨头还是本土专业厂商，资质认证、硬件安全模块级别、服务响应速度都是衡量其专业性的关键指标。安策凭借FIPS 140-2 Level3和CC EAL4+双重认证的HSM密码机，以及20余年深耕数据安全的经验，为广大软件开发者提供符合国际最高标准的代码签名证书服务。

　　如果您正在寻找可靠的代码签名证书服务商，或者对代码签名、密钥管理还有其他疑问，欢迎随时联系我们。安策专注于数据安全和密钥管理，拥有丰富的实操经验和专业团队，可以为您提供从证书申请到安全运维的一站式解决方案。

从2023年6月1日起，代码签名证书行业执行了新规。CA/B论坛要求，普通(OV)代码签名证书的私钥存储方式必须升级，证书密钥对必须在达到FIPS 140-2 Level2或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储，与EV代码签名证书的私钥保护机制保持一致。也就是说，现在不论OV还是EV代码签名证书，私钥都必须存放在符合高安全标准的硬件设备里，不再支持纯软件方式存放。这一变化旨在最大限度地降低私钥泄露的可能性，提升代码签名整体安全性。