7 mayo, 2021

Novedades sobre Certificados de Firma de Código

A partir del 27 de mayo de 2021, DigiCert® requerirá claves RSA de 3072 bits o mayores para los certificados de firma de código.

Este cambio es para cumplir con los estándares de la industria. Este nuevo requisito de tamaño de clave RSA se aplica a la cadena de certificados completa: entidad final, CA intermedia y raíz. Tenga en cuenta que los requisitos de clave de ECC permanecen sin cambios.

  • Los certificados de firma de código emitidos antes del 27 de mayo no requieren cambios y funcionarán hasta que caduquen.
  • Después del 27 de mayo, los certificados de firma de código nuevos y renovados, se emitirán automáticamente bajo nuevas CAs raíces e intermedias.
  • Después del 27 de mayo, todos los certificados de firma de código requerirán CSR con claves RSA de 3072 bits o más. Los certificados de firma de código EV necesitarán un nuevo token o un HSM que admita al menos claves de 3072 bits. Actualmente, la mayoría de los tokens y HSM solo admiten las claves más pequeñas de 2048 bits.

¿Dónde están las nuevas CA intermedias y los certificados raíz?

Certificados Raiz de Autoridad de Confianza DigiCert

Certificados de CA Intermedia de DigiCert

Sitio de descarga de certificados raíz de DigiCert

¿Qué pasa si necesito volver a emitir un certificado de firma de código?

Todos los certificados de firma de código reemitidos después del 27 de mayo incluirán los nuevos certificados intermedios y raíz.

Si su entorno incluye referencias fijas o hardcodeadas a los certificados raíz e intermedios anteriores, deberá actualizar su entorno,  agregando los nuevos certificados.

Para los certificados de firma de código EV, se necesita un token o HSM que admita al menos el tamaño de clave RSA de 3072 bits.

¿Pin,  Hard Code o Trust Store para sus certificados de firma de código?

Es necesario actualizar su entorno con la nueva CA raíz e intermedia.  Es recomendable que dejen de fijar y hardcodear certificados.  Antes de poner en línea un certificado de Code Signing emitido después del 27 de mayo de 2021,  asegúrese de que los certificados sean de confianza y conéctelos a la nueva CA intermedia y a DigiCert Trusted Root G4.

Contáctenos para obtener más información sobre nuestras soluciones.