Cambios en Certificados de Firma de Código
A partir del 27 de mayo de 2021, DigiCert® requerirá claves RSA de 3072 bits o mayores para los certificados de firma de código.
Este cambio es para cumplir con los estándares de la industria. Este nuevo requisito de tamaño de clave RSA se aplica a la cadena de certificados completa: entidad final, CA intermedia y raíz. Tenga en cuenta que los requisitos de clave de ECC permanecen sin cambios.
- Los certificados de firma de código emitidos antes del 27 de mayo no requieren cambios y funcionarán hasta que caduquen.
- Después del 27 de mayo, los certificados de firma de código nuevos y renovados, se emitirán automáticamente bajo nuevas CAs raíces e intermedias.
- Después del 27 de mayo, todos los certificados de firma de código requerirán CSR con claves RSA de 3072 bits o más. Los certificados de firma de código EV necesitarán un nuevo token o un HSM que admita al menos claves de 3072 bits. Actualmente, la mayoría de los tokens y HSM solo admiten las claves más pequeñas de 2048 bits.
¿Dónde están las nuevas CA intermedias y los certificados raíz?
Certificados Raiz de Autoridad de Confianza DigiCert
- DigiCert Trusted G4 (RSA default)
- DigiCert Global Root G3 (ECC default)
- DigiCert CS RSA 4096 Root G5
- DigiCert CS ECC P384 Root G5
Certificados de CA Intermedia de DigiCert
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
Sitio de descarga de certificados raíz de DigiCert
¿Qué pasa si necesito volver a emitir un certificado de firma de código?
Todos los certificados de firma de código reemitidos después del 27 de mayo incluirán los nuevos certificados intermedios y raíz.
Si su entorno incluye referencias fijas o hardcodeadas a los certificados raíz e intermedios anteriores, deberá actualizar su entorno, agregando los nuevos certificados.
Para los certificados de firma de código EV, se necesita un token o HSM que admita al menos el tamaño de clave RSA de 3072 bits.
¿Pin, Hard Code o Trust Store para sus certificados de firma de código?
Es necesario actualizar su entorno con la nueva CA raíz e intermedia. Es recomendable que dejen de fijar y hardcodear certificados. Antes de poner en línea un certificado de Code Signing emitido después del 27 de mayo de 2021, asegúrese de que los certificados sean de confianza y conéctelos a la nueva CA intermedia y a DigiCert Trusted Root G4.