20 jun 2023

Nuevos requisitos para la Protección de la Llave Privada para Certificados CodeSigning

Introducción

El foro de Autoridad Certificadora/Navegador (CA/B Forum, por sus siglas en inglés) ha introducido actualizaciones a los Requisitos Básicos (BR, por sus siglas en inglés) para emitir certificados CodeSigning. A partir del 1 de junio de 2023, se debe generar y proteger una llave privada en un dispositivo compatible con FIPS 140‐2 Nivel 2 o Common Criteria EAL 4+ para los certificados de Firma de Código Estándar y de Validación Extendida (EV). Esto significaría, para los usuarios del Certificado de Firma de Código Estándar, que el par de llaves debe generarse y almacenarse en un módulo criptográfico de hardware que cumpla o supere los requisitos de FIPS 140-2 nivel 2 o Common Criteria EAL 4+. Además, las actualizaciones estipulan formas específicas sobre cómo la Autoridad Certificadora (CA) debe garantizar que la llave privada se genere y proteja en el dispositivo compatible.

El objetivo de estas actualizaciones es aumentar la protección de las llaves privadas asociadas con los Certificados CodeSigning y reducir los riesgos de firma de malware utilizando estas llaves.

Cambios o Impacto

Para cumplir con los requisitos, un suscriptor deberá cumplir con los siguientes requisitos previos para emitir certificados CodeSigning de GlobalSign a partir del 23 de abril de 2023:

1. Se requerirá un token de hardware compatible o HSM para el Certificado de Firma de Código Estándar
2. En caso de emitir un Certificado en HSM, se requerirá una carta de auditoría interna o externa que indique que el suscriptor utilizará HSM compatibles para los Certificados CodeSigning.
3. Para la emisión de cualquier certificado CodeSigning (estándar o de Validación Extendida [EV]) en el token, deberá seleccionar una de las siguientes dos opciones en el momento del pedido:
    
   1. Instalar usando Fortify: si se selecciona este método, deberá instalar la aplicación Fortify desde https://fortifyapp.com/  y seguir las instrucciones proporcionadas en el soporte de GlobalSign aquí  
   2. Instalar usando el modo de compatibilidad de IE: deberá ejecutar el modo de compatibilidad de IE en Edge y luego instalar el certificado. Encuentre instrucciones para lo mismo aquí desde nuestro centro de soporte.

Si es usuario de un certificado de firma de código estándar de GlobalSign e intenta volver a emitirlo después del 24 de abril de 2023, GlobalSign le enviará un token compatible (en caso de que no se haya proporcionado antes). 

Preguntas Frecuentes

1. ¿Será posible descargar el formato .PFX del Certificado Standard CodeSigning?
   
   A partir del 24 de abril de 2023, deberá instalar el certificado directamente en un dispositivo compatible con FIPS 140-2 nivel 2 o Common Criteria EAL 4+. El usuario no podrá descargar el formato .pfx del Certificado. 
2. Tengo un certificado Standard CodeSigning existente. ¿Podré volver a emitir mi certificado existente sin un token?
   
   A partir del 24 de abril de 2023, solo puede resemitir un Certificado en un dispositivo compatible con FIPS 140-2 nivel 2 o Common Criteria EAL 4+. Le enviaremos un token en el momento de su solicitud de reemisión. Podrá volver a emitir el Certificado existente sin token antes del 24 de abril de 2023. 

Si tiene alguna pregunta, no dude en ponerse en contacto con un miembro del Equipo de Soporte de GlobalSign.