依据CA/B论坛的最新标准规定，为了加强代码签名证书私钥的维护，CA/B社区论坛对于大部分（OV）代码签名证书的私钥数据存储方式作出了变更规定。

从2023年6月1日起，代码签名证书签发将实施最新政策，证书密钥对必须要在做到FIPS 140-2 Level2 或EAL4 相关标准及其更高质量的硬件加密板块中形成并存放，与EV代码签名证书的私钥防御机制保持一致。

1.变更详细信息具体内容有什么？

变更前：对于一般代码签名证书，CA组织掌握到用户的CSR后，对用户的CSR开展电子签名后形成证书，然后通过电子邮件的形式将证书发给用户，不用硬件配置物质。EV代码签名证书就需要安全性硬件配置物质。

变更后：自2023年05月22日起，选购一般代码签名证书将与EV代码签名证书一样，证书由CA组织签发并保存在预配备的USB Key上，然后通过邮递的形式将USB Key寄赠给用户。

2.什么证书遭受变更危害？

本次标准升级危害再次签发或续订的代码签名证书，并不影响在05月22日前签发的代码签名证书。

3.硬件配置存储设备有什么？

USB Key：CA组织规定应用特定USB Key来存放代码签名证书和私钥，即适用4096位RSA的USB Key。

数据库安全控制模块HSM：用户可以用独有的数据库安全硬件配置控制模块来存放证书和私钥，但是需要向CA组织证实应用的机器符合规定，需要达到FIPS 140-2 Level2 或EAL4 相关标准及其更高质量，且适用密钥长度已超过3072位RSA加密技术。