Todos los certificados de firma de código estarán en un token a partir del próximo año. ¿Qué hacer ahora?

5/8/2022 | Jindřich Zechmeister

A partir de junio de 2023, se modificarán las condiciones para la emisión y uso de certificados OV Code Signing. Su clave privada tendrá que estar almacenada en un token de hardware. En este artículo, descubrirá lo que esto significa para los usuarios.

¿Qué significa el cambio para los usuarios de certificados Code Signing?

Todos los certificados Code Signing emitidos después del 15.11.2022 01.06.2023 serán emitidos y distribuidos en un token. Así, el certificado emitido se almacenará en el token y lo recibirás por correo. La persona que firma necesitará este token al firmar y para cada firma deberá ingresar la contraseña de desbloqueo del token.

El cambio en la emisión se aplicará automáticamente y, tras la emisión de un nuevo certificado, el token te llegará automáticamente por correo. En nuestra administración podrás encontrar la contraseña para desbloquearlo.

No se puede exportar la clave privada del certificado del token, por lo tanto, tampoco será posible crear un archivo PFX como antes. La mayor seguridad del uso, sin embargo, se compensa con un menor confort de uso, al cual volveremos más adelante.

Renueva tu certificado por 3 años y pospón el cambio

Para los clientes actuales tenemos un consejo sobre cómo posponer los efectos del cambio. Recomendamos renovar el certificado Code Signing existente (o comprar uno nuevo) antes de mediados de noviembre al período más largo de validez de 3 años. Con eso no resolverás el problema, pero al menos lo pospondrás y durante los próximos 3 años podrás firmar como hasta ahora.

Al comprar el certificado para varios años también ahorrarás, ya que reducirá el precio anual del certificado. Sin embargo, será importante no perder el certificado con la clave privada, porque en caso de regeneración ya sería emitido en el token.

¿Existen opciones para firmar sin un token?

Usar un token con el certificado es seguro, pero no es en absoluto práctico. En cada firma debes ingresar una contraseña, lo que evita la automatización de la firma. Esto es un problema ya que cada vez más empresas de desarrollo de software están adoptando el desarrollo utilizando principios CI/CD.

Afortunadamente, existe una opción de firma creada específicamente para estas necesidades. Se llama Secure Software Manager y es parte de la plataforma más amplia DigiCert ONE. Podemos intermediarla para nuestros clientes y te ayudaremos a comenzar con Secure Software Manager.

Secure Software Manager utiliza el principio de firma de hash y la firma se realiza en la nube de DigiCert, donde está ubicado el certificado con la clave privada. Al firmar, solo el hash (huella digital) del archivo que se va a firmar se envía a la nube; una vez devuelto, la utilidad de firma lo agrega a la aplicación firmada. La comunicación con la nube de DC se realiza a través de bibliotecas que DigiCert tiene preparadas para todas las plataformas.

Firmar usando la nube es el futuro. Gracias a ello, firmar es significativamente más seguro, más rápido y los archivos firmados no necesitan viajar por internet. También tienes control completo sobre los pares de claves que firman y todas las operaciones son cuidadosamente registradas.