11 oct 2022

Caducidad de los Certificados KMCS

Antecedentes

En el pasado, los clientes que firmaban software o controladores que debían ejecutarse en modo kernel de Windows podían usar cualquier certificado de firma de código de GlobalSign junto con el certificado cruzado de Microsoft que se vinculaba a la raíz R1 de GlobalSign.

Este certificado cruzado expirará en abril de 2021 y Microsoft ya no emitirá certificados cruzados de confianza para este fin.

 

Nuevo Proceso

En el futuro, el proceso más reciente de Microsoft requiere registrarse en el Programa de hardware de Microsoft. Se puede acceder al Registro para el Programa de Hardware a través del Centro de Desarrollo de Hardware.

Tenga en cuenta que Microsoft solo permite el registro cuando firma un archivo proporcionado por Microsoft con un certificado de validación extendida (EV). El archivo firmado debe cargarse como parte del proceso de registro. De esta manera, el certificado EV se registra y se vincula de forma única a la cuenta en el Centro de desarrollo de hardware.

Se recomienda a los clientes que se registren en el Programa de hardware de Windows antes de la expiración del certificado cruzado de firma de código en modo kernel (KMCS) y, a partir de entonces, sigan el proceso de firma requerido por Microsoft. Puede encontrar una pregunta frecuente de Microsoft sobre todos esos cambios aquí.

 

Impacto/Preguntas frecuentes

1. Actualmente uso un certificado de firma de código de GlobalSign para la firma del controlador en modo Kernel, ¿cómo me afecta?

   A partir del 15 de abril de 2021, deberá seguir el nuevo proceso de firma del controlador del modo kernel que requiere un certificado de firma de código EV. Ov/ Firma de código estándar utilizando el certificado cruzado ya no será aplicable.

    

   Se requiere el Registro para el Programa de Hardware de Microsoft, esto se puede hacer en el Centro de Desarrollo de Hardware de Microsoft. De esta manera, puede registrar su certificado EV para su uso posterior en la firma de paquetes de controladores en modo kernel. Los paquetes de controladores firmados con el certificado EV registrado se pueden enviar utilizando signtool.exe.

2. Actualmente estoy firmando controladores para su ejecución en modo Kernel con un certificado de firma de código, ¿qué debo hacer?

   En este caso, póngase en contacto con su administrador de cuenta o con un representante de GlobalSign, ya que deberá actualizar a un certificado EV.

3. ¿Cómo se ve afectado el software firmado antes de la expiración del certificado cruzado de Microsoft?

   Si se ha habilitado la validez a largo plazo para las firmas, el software firmado antes de la fecha de vencimiento del certificado cruzado (abril de 2021) no se verá afectado. Esto es predeterminado con la mayoría de las aplicaciones de firma.