¿Qué es un certificado de firma de código?
Un certificado de firma de código es un certificado digital que proporciona una prueba de identidad aceptada mundialmente de un editor de software y se puede obtener de una autoridad de certificación (CA) acreditada como SSL.com. Las empresas de software utilizan certificados de firma de código para demostrar que son los desarrolladores de una aplicación. Los certificados de firma de código también evitan la manipulación del código y garantizan que un archivo esté libre de modificaciones no autorizadas, malware y sea seguro de instalar. Los certificados de firma de código son una característica de seguridad esencial cuando el software se distribuye, vende y descarga en línea. Firma digital de tu código con certificados SSL.com confiables permite a los usuarios y sistemas operativos saber que su software es auténtico y seguro de instalar. Siempre puede ponerse en contacto con nuestro equipo de ventas para explicar estas opciones y proporcionar una cotización.¿Necesita un certificado de firma de código? SSL.com tiene opciones para satisfacer cualquiera que sean sus necesidades, conoce más sobre nuestros certificados.
Elegir el certificado de firma de código correcto
Los certificados de validación de organización (OV) e individual (IV) se conocen como certificados de alta seguridad porque requieren más validación y, por lo tanto, brindan más confianza. Para los certificados OV e IV, la CA verificará la organización real o la persona individual que está intentando obtener el certificado. El nombre de la organización o del individuo también se incluye en el certificado, lo que aumenta la confianza en que el titular del certificado tiene buena reputación. Los certificados OV a menudo son utilizados por corporaciones, gobiernos y otras entidades que desean brindar una capa adicional de confianza a sus visitantes. Aparte de SSL/TLS certificados, OV e IV también se utilizan comúnmente para firma de código, firma de documentos, autenticación de clientey S/MIME certificados de correo electrónico. Para obtener más información sobre los requisitos, consulte el sitio web de SSL.com. Requisitos de OV y IV. El Certificado de firma de código de validación individual (IV) aplica firmas digitales con un nombre personal, perfecto para desarrolladores de software independientes y contribuyentes de proyectos individuales que desean aumentar la confianza de sus usuarios. Los certificados EV, también conocidos como certificados de firma de código empresarial, brindan la máxima confianza a los visitantes y también requieren el mayor esfuerzo por parte de la CA para validarlos. Los certificados EV solo se pueden emitir a empresas y otras organizaciones registradas, no a individuos. Los certificados de firma de código EV de propietario único de SSL.com agregan la identidad de una persona al certificado de firma de código EV estándar. Esta opción de validación permite que una empresa unipersonal o un contribuyente individual incluyan su nombre en la firma digital. La opción de validación de propiedad única también es para empresas que requieren una capa adicional de seguridad al incluir la identidad validada de un individuo en la firma digital. Para saber más sobre las características de estos certificados, puedes leer nuestro artículo, ¿Qué certificado de firma de código necesito? EV o OV? De un vistazo rápido, las características definitorias de los certificados de firma de código OV y EV se enumeran a continuación.Certificado de firma de código IV:
- Aplica firmas digitales con nombre personal
- Perfecto para desarrolladores de software independientes y colaboradores de proyectos individuales
Certificado de firma de código OV:
- Verifica su identidad como editor de software
- Protege su software de la manipulación y la infección por malware
Certificado de firma de código EV:
- Capacidad para firmar controladores anteriores a Windows 10 y Windows 10
- Reputación instantánea de Microsoft SmartScreen
- No caducidad de firma y sellado de tiempo
- Capacidad para iniciar sesión en la nube usando eSigner
- Los certificados de firma de código EV de propiedad única agregan la identidad de una persona al certificado de firma de código EV estándar
Configuración y uso de su cuenta SSL.com
Si aún no lo has hecho, empieza por creando una cuenta en SSL.com. Su cuenta tiene la capacidad de crear varios equipos, así como de invitar a varios usuarios con funciones y asignaciones de derechos específicas.El proceso de validación
Para validar y emitir un certificado OV o IV, SSL.com debe verificar su identidad, dirección física y número de teléfono a través de recursos en línea verificables y/o documentos de verificación válidos. Para más detalles sobre los requisitos, puede leer ¿Cuáles son los requisitos para los certificados OV e IV de SSL.com? Además, para los pedidos de certificados de firma de código IV, los solicitantes deberán enviar una imagen del anverso y el reverso de una identificación más una imagen de ellos sosteniendo la identificación junto a su rostro. Según las pautas establecidas por CA/Browser Forum, se debe proporcionar documentación adicional para emitir un certificado EV. Dirigirse a Preguntas frecuentes: proceso de validación extendida (EV) para conocer todos los requisitos para los certificados EV. Para las entidades que soliciten certificados de firma de código EV, SSL.com llevará a cabo la validación a través de recursos en línea confiables y/o documentos válidos, así como documentación adicional según las pautas establecidas por CA/Browser Forum.Nuevos requisitos de almacenamiento de claves para certificados de firma de código OV e IV
A partir del 1 de junio de 2023, SSL.com Los certificados de firma de código de validación de organización (OV) e individual (IV) solo se emitirán en tokens USB del estándar federal de procesamiento de información 140-2 (FIPS 140-2) o a través de nuestro servicio de firma de código en la nube eSigner. Este cambio cumple con los nuevos requisitos de almacenamiento de claves del foro de autoridad certificadora/navegador (CA/B) para aumentar la seguridad de las claves de firma de código. La regla anterior permitía emitir certificados de firma de código OV y IV como archivos descargables de Internet. Dado que los nuevos requisitos solo permiten el uso de tokens USB cifrados o dispositivos de hardware compatibles con FIPS basados en la nube para almacenar el certificado y la clave privada, se espera que los casos de robo y uso indebido de claves de firma de código por parte de actores maliciosos se reduzcan considerablemente. Hacer clic este enlace para aprender más sobre el SSL.com Solución de firma de código en la nube eSigner.Almacenamiento de claves y métodos de firma para certificados de firma de código de validación extendida
Token USB
SSL.com envía certificados de firma de código que están preinstalados en tokens FIPS Yubikey y tokens USB Thales SafeNet (Gemalto).Los tokens Thales SafeNet están equipados para manejar claves RSA de hasta 3072 bits, cruciales para la firma en modo kernel y un requisito previo en ciertos entornos de desarrollo de software, como la firma de controladores para sistemas Microsoft.
A través de un procedimiento conocido como atestación remota, los clientes de SSL.com, independientemente de su ubicación, pueden crear un par de claves directamente en su YubiKey, junto con un certificado de atestación que verifica la generación de la clave privada en el dispositivo. El certificado de atestación se puede utilizar posteriormente para renovar un certificado vencido que se encuentra en Yubikey. La compatibilidad con la atestación remota es una característica que actualmente no está disponible para los clientes de tokens de Thales. Para obtener una comparación más detallada entre las características de los tokens de Yubikey y Thales SafeNet, consulte este artículo de SSL.com: Tokens Yubikey FIPS frente a tokens USB Thales/Gemalto.
Tanto los tokens SafeNet de Yubikey como los de Thales están diseñados para aumentar la seguridad sin comprometer sustancialmente la experiencia del usuario. La elección entre ellos debe guiarse por el enfoque de seguridad y las necesidades operativas de la organización. Sin embargo, como dispositivos físicos, pueden perderse o ser robados, lo que plantea importantes riesgos de seguridad y puede generar altos costos de reemplazo. En un entorno de trabajo remoto moderno, la logística de distribución y mantenimiento de estos tokens de hardware puede plantear desafíos importantes para los equipos de TI, lo que requiere gastos y mano de obra notables. Además, estos tokens no ofrecen el mismo nivel de conveniencia que las soluciones basadas en la nube, especialmente para los desarrolladores que trabajan dentro de un flujo de trabajo de CI/CD.
HSM en la nube
Una segunda opción para la firma de código EV es utilizar un HSM en red en la nube para alojar certificados y claves de firma de código. Este método ofrece un nivel de seguridad comparable al de un token USB, ya que las claves privadas tampoco son exportables. Debido a que la firma de código se realiza a través de la nube, se puede lograr una colaboración escalable.Se logra con la ayuda de desarrolladores de ONG. Sin embargo, debe tenerse en cuenta que este método puede requerir experiencia con el proveedor de servicios en la nube en particular. Para la emisión de certificados de firma de código EV, SSL.com admite tres Cloud HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM y Google Cloud HSM. Para obtener más detalles sobre cada uno, puede leer nuestro artículo de guía: HSM en la nube compatibles para firma de documentos y firma de código EV.- Para saber cómo puede usar su cuenta HSM y contratar a un profesional para Cloud HSM Attestation, puede leer nuestro artículo Traiga su propia certificación Auditor Cloud HSM.
- SSL.com actualmente está desarrollando y probando procedimientos de certificación para una amplia gama de plataformas HSM. Puedes llenar esto Formulario de consulta para averiguar si estamos probando una plataforma HSM que no figura en la lista anterior.
eSigner: firma de código como servicio
En tercer lugar, un enfoque moderno y muy conveniente para la firma de código EV es tratar con la firma de código como un servicio. El servicio de firma de código en la nube eSigner de SSL.com es un ejemplo de este método. Con eSigner, SSL.com maneja tanto la infraestructura de clave pública (PKI) y HSM para firma de código. Las claves de firma no exportables se almacenan en los HSM de eSigner, donde ni el cliente ni SSL.com pueden verlas. De esta manera, el estándar de seguridad es tan alto como con los tokens y los HSM en la nube, pero no es necesario que el cliente los trate directamente. El entorno de eSigner incluye una serie de opciones de firma para adaptarse a las necesidades de una variedad de clientes, desde desarrolladores individuales hasta organizaciones complejas.Opciones de firma de eSigner
- Con el servicio eSigner de SSL.com, puede usar su certificado de firma de código de validación extendida de SSL.com para firmar código desde cualquier dispositivo conectado a Internet sin ningún hardware adicional. Después de inscribir su pedido de certificado de firma de código EV en eSigner, puede firmar el código con el Aplicación web eSigner Express, Herramienta de firma de código de firma electrónica o a través de SSL.com compatible con CSC API de firma de código.
Tipos de archivos compatibles con eSigner
- Puedes leer nuestra guía, Tipos de archivos compatibles con eSigner, para saber qué tipos de archivos son compatibles con eSigner Express y eSigner API.
Primeros pasos con su certificado de firma de código:
Al recibir su nuevo certificado de firma de código, es posible que tenga preguntas sobre cómo usarlo y con qué aplicaciones se puede integrar. Las guías vinculadas a continuación responden preguntas comunes que puede tener sobre cómo comenzar con su nuevo certificado.- Cómo comprar certificados de firma de código y firma de código EV de SSL.com
- Cómo instalar un certificado de firma de código OV de SSL.com en Windows 10
- Preguntas frecuentes: cómo comenzar con su certificado de firma de código EV
- Regístrese con el Programa de desarrollo de hardware de Windows para firmar controladores con la firma de código EV
- Cómo utilizar su certificado de firma de código OV o EV con SignTool de Microsoft y SSL.com SSL Manager
Introducción a la firma de código en la nube de eSigner
- Características del servicio de eSigner
- Inscríbase en eSigner
- Elegir una suscripción de firma
- Preguntas frecuentes sobre eSigner
- Cómo ver y restablecer el código QR de eSigner o restablecer el PIN
- Uso compartido en equipo para certificados de firma de código EV y documento eSigner
Usando tus Yubikeys
Los certificados como EV Code Signing solicitados a SSL.com vienen con la opción de venir preinstalados en un Módulo de seguridad de hardware (HSM) como un token USB de clave de seguridad validado por FIPS 140-2. Si su certificado aún no ha sido validado, puede incluir la cantidad de tokens que necesita al realizar el pedido y antes de completar el proceso de validación. En caso de que su certificado ya haya sido emitido, aún tiene la opción de solicitar tokens adicionales. Para saber cómo agregar Yubikeys a su certificado de firma de código EV, haga clic en esta guía: Cómo agregar YubiKeys a su pedido de certificado Si ya tiene un Yubikey, puede consultar las siguientes guías sobre cómo operarlo:- Instrucciones rápidas de YubiKey
- Cómo desbloquear el PIN de YubiKey
- Cómo acceder a su PIN y PUK de Yubikey FIPS
- ¿Qué sucede si mi token de firma de código EV está en blanco?
- Cómo instalar los certificados raíz e intermedios de SSL.com en YubiKey
- Cómo llevar a cabo la generación y atestación de claves con Yubikey
Automatización e Integración
eSigner CKA (adaptador de clave en la nube)
- eSigner CKA (adaptador de clave en la nube) es una aplicación basada en Windows que utiliza la interfaz CNG (proveedor de servicios clave de KSP) para permitir que herramientas como certutil.exe y signtool.exe utilicen eSigner CSC para operaciones de firma de código automatizadas. eSigner CKA actúa como un token USB virtual y carga los certificados de firma de código en el almacén de certificados.
eSigner y CodeSignTool para firma de código EV automatizada
- CodeSignTool es ideal para procesos por lotes automatizados para firmas de gran volumen o integración en flujos de trabajo de canalización de CI/CD existentes.
- Lea nuestras Guía de CodeSignTool sobre cómo firmar objetos de código sin que se le solicite la entrada manual de OTP para cada archivo.
- Pásate por Guía de comandos de la herramienta eSigner CodeSign para obtener más información sobre los comandos, las opciones y los parámetros admitidos.
Guías específicas de integración de servicios de CI/CD
A continuación, encontrará guías específicas sobre cómo automatizar la firma de código mediante eSigner para las plataformas de CI/CD más populares.- Integración de firma de código en la nube con CircleCI
- Integración de firma de código en la nube con acciones de GitHub
- Integración de firma de código en la nube con GitLab CI
- Integración de firma de código en la nube con Travis CI
- Integración de firma de código en la nube con Jenkins CI
- Integración de firma de código en la nube con Azure DevOps
- Integración de firma de código en la nube con BitBucket
Probar la firma de código EV en Sandbox
SSL.com mantiene un entorno de "sandbox" separado para nuestro servicio de firma en la nube eSigner para que los usuarios puedan experimentar con las diferentes aplicaciones, utilidades y API antes de trabajar en vivo. Firma de código EV Certificados.- Dirigirnos a nuestro artículo de instrucciones que incluye credenciales de demostración de eSigner, códigos QR e información de configuración para facilitar el uso experimental del Sandbox de eSigner Express, Herramienta CodeSigny CCS, Firma de código.
- Para obtener una guía completa sobre cómo configurar una cuenta de espacio aislado, crear un pedido de prueba y usar el espacio aislado con la API SWS de SSL.com, puede leer el artículo de nuestra guía: Uso de SSL.com Sandbox para pruebas e integración.
Guías de entornos específicos
Los certificados de firma de código EV de SSL.com se pueden utilizar en varios entornos de firma de código. Consulte los artículos a continuación para obtener guías específicas:- Firmar su código Java con un certificado de firma de código OV/IV o EV
- Firma de controladores en modo kernel para Windows mediante certificados de firma de código EV u OV
- Preguntas frecuentes: certificados de firma de código en modo kernel
- Uso de Jsign desde la línea de comandos de Linux para la firma de código OV/IV y la firma de código EV
- Firma de código con Azure DevOps, mediante un certificado almacenado en Azure Key Vault