¿Certificados Code Signing en un token? No hay que preocuparse

22/5/2023 | Jindřich Zechmeister

A partir de ahora, los certificados Code Signing sólo podrán estar en un token o HSM. Ya no será posible almacenarlos localmente en el ordenador, por ejemplo, en el popular formato de archivo PFX.

¿Qué es lo que cambia y desde cuándo?

A partir de 16/05/2023 todos los certificados Code Signing tienen que emitirse en un almacenamiento seguro – al igual que EV Code Signing. El almacenamiento que puede utilizarse es un token o un HSM. El token debe cumplir la certificación FIPS 140-2 Level 2 o Common Criteria EAL 4+. Este cambio afecta a todo el sector y, en consecuencia, todas las autoridades de certificación. Todos deben aceptar y cumplir estas normas.

Por tanto, todos los propietarios y usuarios de los certificados de Code Signing deberán tener su certificado en el token, lo que antes era un privilegio y una ventaja exclusiva de los certificados EV Code Signing.

No tiene que preocuparse por el cambio, firmar será igualmente fácil

Queremos que la transición al token sea lo más fácil posible, por eso, lo recibirá de nosotros por 75 EUR en vez del precio de 120 USD ofrecido por DigiCert y sin que importe el número de años de validez del certificado.

La forma de firmar utilizando el token casi no va a cambiar. Sólo se referirá al almacenamiento en el token en lugar del archivo PFX. Aunque el certificado se almacena en el token, Safenet lo hace "visible" en el almacén de certificados del sistema como si estuviera físicamente allí. Por tanto, firmar no será más complicado.

A continuación, podrá ver cómo se invoca el certificado en el token (la firma se realiza con la herramienta signtool en Windows SDK). En vez del archivo referirá utilizando el parámetro /s en el almacenamiento: signtool sign /s my /t http://timestamp.verisign.com/scripts/timestamp.dll C:/test.exe

Firmar es igualmente fácil. Si tiene que elegir el certificado de la lista (dialogo del sistema), el certificado será visible en el token.

¿Qué debo hacer si no quiero el token?

Puede tener diferentes razones para no querer el certificado en un token. Lo más habitual es que varios desarrolladores del equipo firmen la aplicación y tengan sus propios certificados, o que se presten el token. Esto es poco práctico, pero existen soluciones. Pongamos al menos dos ejemplos.

Una opción es adquirir un HSM y almacenar el token de forma segura en este recurso de hardware. Sin embargo, esto supone una inversión significante, que puede ascender a miles de dólares. Una forma moderna de resolver este problema es firmar utilizando una autoridad de certificación segura en la nube. Este servicio lo ofrece la plataforma DigiCert ONE y se denomina Software Trust Manager.


Ing. Jindřich Zechmeister
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz