Requisitos Certificados Firma de Código
La Industria pospuso la implementación hasta el 1 de junio de 2023, a fin de brindar más tiempo para preparar el nuevo requisito de almacenamiento de clave privada del Certificado de Firma de Código OV.
A partir del 1 de junio de 2023 a las 00:00 UTC, los estándares de la industria requerirán que las claves privadas para los certificados de firma de código OV sean almacenados en hardware certificado como: FIPS 140 Nivel 2, Common Criteria EAL 4+ o equivalente. Este cambio fortalece la protección de clave privada para certificados de firma de código y la alinea con la protección de clave privada de certificado de firma de código EV (Extended Validation). Aquí puede encontrar la nueva disposición del CAB Forum: https://cabforum.org/baseline-requirements-code-signing/
El nuevo requisito de almacenamiento de clave afecta los certificados de firma de código emitidos a partir del 1 de junio de 2023 e impacta las siguientes partes de su proceso de firma de código:
- Almacenamiento de claves privadas e instalación de certificados – 1 de junio de 2023
- Firma de Código
- Solicitud y renovación de certificados
- Reemisión de certificados
Almacenamiento de claves privadas e instalación de certificados: 1 de junio de 2023
Este nuevo requisito significa que las Autoridades Certificantes (CA) ya no pueden admitir la generación de claves basadas en navegador, así como tampoco cualquier proceso que incluya la creación de una CSR (Solicitud de firma de certificado) y la instalación de su certificado en una computadora portátil o servidor. Las claves privadas y los certificados deben almacenarse e instalarse en tokens o HSM (Hardware Security Modules o módulos de seguridad de hardware) certificados como mínimo con FIPS 140-2 Nivel 2 o Common Criteria EAL 4+.
Firma de Código – 1 de junio de 2023
Para usar un certificado de firma de código instalado en un dispositivo necesita acceso al token o HSM y sus credenciales. Por ejemplo, debe conectar el token a su computadora y luego, necesita la contraseña para firmar su código con el certificado de firma de código en el token.
Solicitud y renovación de certificados de firma de código – 1 de junio de 2023
Al solicitar y renovar un certificado de firma de código OV, debe seleccionar un método de aprovisionamiento. En otras palabras, elija el hardware para almacenar la clave privada. Tiene tres opciones de aprovisionamiento.
- Utilice un Token proporcionado por CertiSur
- Use su propio token compatible
- Instalar en un módulo de seguridad de hardware (HSM)
Los tokens de hardware y los dispositivos HSM deben ser FIPS 140 Nivel 2, Common Criteria EAL 4+ o equivalente. Para usar un HSM, debe enviar una carta de certificación que incluya una carta de auditoría.
Reemisión de certificados – 1 de junio de 2023
Al volver a emitir certificados de firma de código, debe instalar el certificado en un token compatible o HSM. Si no tiene un token, puede comprar un eToken marca Safenet 5110 FIPS 140 Nivel 2.
¿Quiere eliminar la necesidad de tokens individuales?
Realice la transición a DigiCert® Secure Software Manager (SSM) para mejorar la seguridad de su software con la automatización del flujo de trabajo de firma de código que reduce los puntos de vulnerabilidad con seguridad y control de extremo a extremo en toda la empresa; en el proceso de firma de código, todo sin ralentizar su proceso.
Características principales:
- Almacenamiento de claves en HSM compatible con la industria
- Aplicación de políticas
- Gestión centralizada
- Integración con CI/CD (Continuous Integration/Continuous Delivery)
- Y más
Para obtener más información sobre cómo DigiCert® Secure Software Manager ha ayudado a otras organizaciones, consulte el caso de estudio La firma automatizada acelera los tiempos de compilación mientras mejora la experiencia del usuario (en inglés)
Hemos volcado en este documento toda la información con la que contamos hasta este momento sobre los cambios exigidos por el CAB Forum. A medida que contemos con nuevos datos sobre el mecanismo de instalación y uso del certificado de Code Signing desde un token, un HSM o a través del Secure Software Manager (SSM) nos volveremos a comunicar con usted.
¿Necesitas ayuda, tienes preguntas?
Si tiene preguntas o desea obtener más información sobre los próximos cambios de la industria, comuníquese con nosotros enviando un correo electrónico a soporte@certisur.com