16 junio, 2022

Novedades Certificados Firma de Código

A partir del 15 de noviembre de 2022 los estándares de la industria requerirán que las claves privadas para los certificados de firma de código OV sean almacenados en hardware certificado como: FIPS 140 Nivel 2, Common Criteria EAL 4+ o equivalente.

Este cambio fortalece la protección de clave privada para los certificados de firma de código. Aquí puede encontrar la nueva disposición del CAB Forum: https://cabforum.org/baseline-requirements-code-signing/

El nuevo requisito de almacenamiento de clave afecta los certificados de firma de código emitidos a partir del 15 de noviembre de 2022 e impacta las siguientes partes de su proceso de firma de código:

  • Almacenamiento de claves privadas e instalación de certificados – 15 de noviembre de 2022
  • Firma de Código
  • Solicitud y renovación de certificados
  • Reemisión de certificados

Almacenamiento de claves privadas e instalación de certificados: 15 de noviembre de 2022

Este nuevo requisito significa que las Autoridades Certificantes (CA) ya no pueden admitir la generación de claves basadas en navegador, así como tampoco cualquier proceso que incluya la creación de una CSR (Solicitud de firma de certificado) y la instalación de su certificado en una computadora portátil o servidor. Las claves privadas y los certificados deben almacenarse e instalarse en tokens o HSM (Hardware Security Modules o módulos de seguridad de hardware) certificados como mínimo con FIPS 140-2 Nivel 2 o Common Criteria EAL 4+.

Firma de Código – 15 de noviembre de 2022

Para usar un certificado de firma de código instalado en un dispositivo, necesita acceso al token o HSM y las credenciales para usar el certificado almacenado en él. Por ejemplo, debe conectar el token a su computadora y luego, necesita la contraseña para firmar su código con el certificado de firma de código en el token.

Solicitud y renovación de certificados de firma de código – 15 de noviembre de 2022

Al solicitar y renovar un certificado de firma de código OV, debe seleccionar un método de aprovisionamiento. En otras palabras, elija el hardware para almacenar la clave privada. Tiene tres opciones de aprovisionamiento.

  • Utilice un token preconfigurado proporcionado por DigiCert*
  • Use su propio token compatible
  • Instalar en un módulo de seguridad de hardware (HSM)

Los tokens de hardware y los dispositivos HSM deben ser FIPS 140 Nivel 2, Common Criteria EAL 4+ o equivalente. Para usar un HSM, debe enviar una carta de certificación que incluya una carta de auditoría.

Reemisión de certificados – 15 de noviembre de 2022

Al volver a emitir certificados de firma de código, debe instalar el certificado en un token compatible o HSM. Si no tiene un token, puede comprar un token de DigiCert en ese momento.

DigiCert y CertiSur nos encontramos trabajando en el proceso de compra de tokens para la reemisión de los certificados de firma de código. Proporcionaremos detalles sobre el nuevo proceso y el precio del token lo antes posible en un correo electrónico de seguimiento.

¿Quiere eliminar la necesidad de tokens individuales?

Realice la transición a DigiCert® Secure Software Manager (SSM) para mejorar la seguridad de su software con la automatización del flujo de trabajo de firma de código que reduciendo los puntos de vulnerabilidad con seguridad y control de extremo a extremo en toda la empresa; en el proceso de firma de código, todo sin ralentizar su proceso.

Características principales:

  • Almacenamiento de claves en HSM compatible con la industria
  • Aplicación de políticas
  • Gestión centralizada   
  • Integración con CI/CD (Continuous Integration/Continuous Delivery)
  • Y más

Para obtener más información sobre cómo DigiCert® Secure Software Manager ha ayudado a otras organizaciones, consulte el caso de estudio La firma automatizada acelera los tiempos de compilación mientras mejora la experiencia del usuario (en inglés)

Hemos volcado en este documento toda la información con la que contamos hasta este momento sobre los cambios exigidos por el CAB Forum. A medida que contemos con nuevos datos sobre el mecanismo de instalación y uso del certificado de Code Signing desde un token, un HSM o a través del Secure Software Manager (SSM) nos volveremos a comunicar con usted.

¿Necesitas ayuda, tienes preguntas?

Si tiene preguntas o desea obtener más información sobre los próximos cambios de la industria, comuníquese con nosotros enviando un correo electrónico a soporte@certisur.com

Contáctenos para obtener más información sobre nuestras soluciones.