11 ago. 2022

Requisitos Mínimos para la Firma de Código

Requisitos mínimos del Consejo de Seguridad de la Autoridad de Certificación para la Emisión y Gestión de Certificados de Firma de Códigos

Los requisitos mínimos del Consejo de Seguridad de la Autoridad de Certificación (CASC, por sus siglas en inglés) son requeridos por todas las Autoridades de Certificación (CAs) para la emisión y manejo de certificados para que sus Certificados de Firma de Código sean de confianza en Plataformas Windows. 

Sólo los certificados de firma de código EV se emitirán con tokens USB (actualizado el 9 de diciembre de 2019)

Los requisitos mínimos especifican que las CA garantizarán una protección más estricta de las llaves privadas. Todos los certificados de firma de código EV, requerirán un token USB. Todas las órdenes de firma de código EV nuevas y renovadas requerirán un token USB para almacenar el certificado y proteger la clave privada. Además, todos los productos de firma de código estándar - a excepción de la firma de código EV - se integrarán en un certificado de firma de código "multiplataforma".

Ya no será necesario proporcionar CodeSigning estándar en un token, ya que ahora tendrá la opción de generar e instalar su certificado CodeSigning en uno de los siguientes:

1. Módulo de plataforma de confianza (TPM)
2. Módulo criptográfico de hardware
3. Otro token de software de hardware (tarjeta SD/ token USB)

Inclusión del Estado y/o Localidad en el sujetoDN

Los requisitos mínimos especifican prácticas estandarizadas y estrictas de verificación de identidad. GlobalSign requiere que los Certificados de Firma de Código contengan El Estado y/o la Localidad en el sujetoDN. 

Nuevos requisitos del sellado de tiempo 

Los requisitos mínimos especifican los requisitos del sellado de tiempo. Las URL de sellado de tiempo de Firma de Código dedicadas de GlobalSign para este propósito se enumeran a continuación:

Algoritmo de hash	Nueva URL de marca de tiempo
SHA-2	http://timestamp.globalsign.com/tsa/r6advanced1

Notificación y Revocación de Certificados con Problemas 

Los requisitos mínimos especifican los requisitos estandarizados para la notificación y revocación de certificados con problemas. Los "Certificados con Problema" son Certificados sospechosos donde se ha comprometido la llave privada, utilizados para firmar código sospechoso o malicioso, etc.
Lo más probable es que una solicitud de revocación sea puesta por algún investigador de malware o por un proveedor de aplicaciones de software, como Microsoft, donde usuarios de su software puedan estar instalando un código “sospechoso” o malware. En este caso, si Microsoft solicita a GlobalSign que revoque el Certificado, este debe ser revocado en un plazo de dos días o, se debe informar a Microsoft de que GlobalSign ha iniciado una investigación. Los Certificados con Problema se pueden reportar directamente a través de nuestro sitio web en: https://www.globalsign.com/en/report-abuse/ 
Para obtener más información, consulte nuestra entrada de blog ¿Qué significan los nuevos requisitos para el Certificado de Firma de Código para los desarrolladores? 

Si desea obtener más información sobre nuestros Certificados de Firma de Código, lea nuestro artículo de soporte preguntas frecuentes sobre Firma de Código.

Referencias

1. Requisitos mínimos para la Emisión y Gestión de Certificados de Firma de Código de Confianza Pública  
2. Requisitos para el Programa de Raíz Confiable de Microsoft