SSL.com proporciona servicios de firma remota en la nube llave en mano a través de nuestra API de operaciones de firma eSigner, que incluye el almacenamiento y la gestión de claves privadas.
Sin embargo, muchos usuarios prefieren utilizar su propio HSM o servicio HSM en la nube para almacenar claves privadas utilizadas para firmar documentos.
Las firmas LTV permiten la verificación sin depender de sistemas o repositorios externos. Toda la información de validación necesaria se incluye en el propio documento, lo que lo hace autónomo. Esto es particularmente importante para la verificación a largo plazo, ya que los sistemas o repositorios externos pueden dejar de estar disponibles o cambiar con el tiempo.
Con las firmas LTV, el proceso de verificación sigue siendo independiente y autosuficiente.
A continuación se muestra una lista de mejores prácticas a las que los usuarios pueden consultar para habilitar las firmas LTV para la firma de documentos cuando utilizan su propio HSM o servicio HSM en la nube.
- preparar el documento: Asegúrese de que el documento que desea firmar esté en un formato adecuado, como PDF/A o un simple documento PDF. PDF/A está diseñado específicamente para el archivado a largo plazo y garantiza que la integridad del documento se mantenga a lo largo del tiempo.
- Utilice marcas de tiempo criptográficas: Las firmas LTV requieren una fuente de tiempo confiable y confiable. Las marcas de tiempo criptográficas proporcionan esto al vincular de forma segura la firma a una hora específica, evitando cualquier fecha retroactiva o manipulación. Utilice una autoridad de sellado de tiempo confiable como SSL.com o un servicio de sellado de tiempo interno dentro de su organización.
El servidor de marca de tiempo de SSL.com está en http://ts.ssl.com/. De forma predeterminada, SSL.com admite marcas de tiempo de claves ECDSA.Si encuentra este error: El certificado de marca de tiempo no cumple con un requisito de longitud mínima de clave pública, es posible que su proveedor de HSM no permita marcas de tiempo de claves ECDSA a menos que se realice una solicitud.
Si su proveedor de HSM no puede permitir el uso del punto final normal, puede usar este punto final heredado. http://ts.ssl.com/legacy para obtener una marca de tiempo de una unidad de sellado de tiempo RSA.
- Preservar la información de revocación del certificado: Para mantener la validez de las firmas a lo largo del tiempo, es fundamental preservar la información de revocación del certificado. Esto incluye las listas de revocación de certificados (CRL) o las respuestas del Protocolo de estado de certificados en línea (OCSP) utilizadas para verificar el certificado del firmante.
Para los usuarios del lenguaje Java, pueden consultar el Biblioteca PDFBox Java que contiene ejemplos para crear firmas LTV. También incluye ejemplos de marcas de tiempo de firma.
A continuación se muestra un código de ejemplo sobre cómo incrustar información de revocación (CRL) de la cadena de certificados de firma de documentos dentro del documento PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Archivar documentos firmados: Mantenga un archivo seguro y organizado de todos los documentos firmados, incluidas las versiones intermedias. Esto garantiza que los documentos firmados y la información de validación asociada, como marcas de tiempo y datos de revocación, estén disponibles para una verificación a largo plazo. Implementar mecanismos de almacenamiento adecuados para evitar el acceso no autorizado, la manipulación o la pérdida de datos.
- Verificar la firma: Implementar un proceso de verificación para garantizar que la firma pueda validarse correctamente. Esto implica utilizar la clave pública asociada con el certificado de firma para verificar la integridad de la firma, verificar la validez de la marca de tiempo y verificar el estado de revocación del certificado.
- Configurar correctamente los HSM: Asegúrese de que los HSM estén configurados y mantenidos adecuadamente, y cumplan con los estándares de la industria y las mejores prácticas para la administración de claves, como la rotación de claves, controles de acceso estrictos y auditorías periódicas.
- Monitorear y actualizar controles de seguridad: supervise periódicamente los controles de seguridad y las configuraciones de su infraestructura de firma, incluidos los HSM, los servicios de marca de tiempo y los sistemas de almacenamiento. Manténgase actualizado con parches de seguridad, actualizaciones de firmware y las mejores prácticas de la industria para HSM y tecnologías de firma de documentos.
Para soluciones de firma de documentos HSM autoadministradas, comuníquese con sales@ssl.com.
Para obtener una guía sobre los HSM en la nube compatibles con SSL.com, visite este artículo: HSM en la nube compatibles para firma de documentos y firma de código EV.
Obtenga más información sobre los HSM en la nube compatibles con SSL.com
Formulario de solicitud de servicio de Cloud HSM
Si desea solicitar certificados digitales para la instalación en una plataforma HSM en la nube compatible (AWS CloudHSM o Azure Dedicated HSM), complete y envíe el formulario a continuación. Después de que recibamos su solicitud, un miembro del personal de SSL.com se comunicará con usted para brindarle más detalles sobre el proceso de pedido y certificación.
