Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. Firma de código

¿Cuáles son los requisitos del foro de CA/Navegador para las claves privadas de los certificados de firma de código? ¿Estás preparado?

Publicado porario kumar 4 Minutos
¿Cuáles son los requisitos del foro de CA Browser para las claves privadas de los certificados de firma de código? ¿Está preparado?
Tabla de contenido

La seguridad es fundamental en el mundo digital actual, especialmente cuando se trata de la protección de certificado de diseño de código Claves privadas. A lo largo de los años, los desarrolladores han utilizado certificados de firma de código para garantizar la autenticidad, integridad y fiabilidad de sus aplicaciones de software. Sin embargo, las claves privadas asociadas al certificado de firma de código no estaban adecuadamente protegidas debido a la falta de políticas y directrices rigurosas.

En este blog, analizaremos en profundidad las actualizaciones recientes de los Requisitos básicos para certificados de firma de código del Foro de autoridad de certificación/navegador (CA/B), que deben implementarse a partir del 1.º de abril de 2019.st 2023 junio.

¿Qué son las actualizaciones del Foro CA/B?

El CA/Browser Forum, un consorcio de autoridades de certificación (CA) y los proveedores de navegadores revisan periódicamente sus directrices y requisitos para mejorar la seguridad de Certificados digitalesEn una actualización reciente, el foro introdujo nuevas recomendaciones dirigidas específicamente a las claves privadas de los certificados de firma de código. Estas actualizaciones buscan abordar las amenazas de seguridad emergentes y fortalecer la seguridad general del foro. firma de código ecosistema.

A partir del 1 de junio de 2023, es obligatorio que las claves privadas de los suscriptores asociadas con los certificados de firma de código estén protegidas mediante un módulo criptográfico de hardware que cumpla con FIP Requisitos de Nivel 2 140-2 o Criterios Comunes EAL 4+. Los suscriptores deben seleccionar uno de los métodos aprobados para generar y proteger sus claves privadas de certificado de firma de código:

  1. Opción 1

    Utilice un módulo criptográfico de hardware operado por ellos que cumpla con los estándares prescritos.

  2. Opción 2

    Utilice una solución de protección y generación de claves basada en la nube que satisfaga los siguientes criterios:

    • Mantiene las claves privadas dentro de los límites seguros del módulo de cifrado de hardware de la plataforma en la nube, cumpliendo con los requisitos especificados.
    • Registra todos los accesos, operaciones y cambios de configuración relacionados con los recursos que protegen la clave privada.

  3. Opción 3

    Utilice un servicio de firma que cumpla con los requisitos básicos establecidos.

Además, las CA deberán verificar que la clave privada del suscriptor se genere, almacene y utilice en un módulo de cifrado de hardware adecuado utilizando uno de los siguientes métodos:

  1. La CA proporciona un módulo de cifrado de hardware con pares de claves pregenerados.
  2. El suscriptor utiliza la certificación de clave para verificar la generación segura de la clave privada en un módulo criptográfico de hardware.
  3. El suscriptor utiliza una biblioteca de cifrado prescrita y un módulo de cifrado de hardware adecuado para la generación y el almacenamiento de pares de claves.
  4. El suscriptor presenta un informe de auditoría de TI que confirma el uso exclusivo de un módulo de cifrado de hardware adecuado para la generación de pares de claves de certificados de firma de código.
  5. El suscriptor proporciona un informe de su solución de protección de clave basada en la nube, que demuestra la configuración segura de los recursos que protegen la clave privada.
  6. La CA se basa en un informe, firmado por un auditor aprobado, que confirma la creación del par de claves en un módulo de cifrado de hardware adecuado, incluidas las soluciones basadas en la nube.
  7. El suscriptor proporciona un acuerdo en el que se compromete a utilizar un servicio de firma que cumpla con los requisitos.

Solución de firma de código empresarial

Obtenga una solución para todas sus necesidades criptográficas de firma de código de software con nuestra solución de firma de código.

Solicitar demostración

¿Cómo puede usted mantenerse en cumplimiento?

Para garantizar el cumplimiento de estas actualizaciones y mejorar la seguridad de sus certificados digitales, las organizaciones deben tomar las siguientes medidas:

  • Revise los requisitos

    Estudie en profundidad las recomendaciones actualizadas proporcionadas por el Foro CA/Browser para comprender los requisitos específicos y los cambios relacionados con las claves privadas de los certificados de firma de código.

  • Evaluar la infraestructura existente

    Las organizaciones necesitan revisar su situación actual infraestructura e identificar sus métodos para generar y proteger las claves privadas de los certificados de firma de código. Esta evaluación ayudará a identificar deficiencias o áreas que deben abordarse para cumplir con las nuevas directrices.

  • Seleccione un enfoque adecuado

    Las organizaciones deben elegir uno de los enfoques aprobados que se indican en el blog para generar y proteger sus claves privadas de certificado de firma de código.

¿Quieres saber cómo podemos ayudarte?

Consultoría de cifrado CodeSign seguro Proporciona a las organizaciones una solución integral de firma de código adaptada a sus necesidades específicas. Al utilizar esta solución, las organizaciones pueden establecer una política de firma de código sólida que mitiga eficazmente los riesgos de seguridad y garantiza la autenticidad de su software. Nuestro producto optimiza el proceso de firma de código y ofrece una gama de funciones diseñadas para mejorar la seguridad.

Una característica clave de CodeSign Secure es la seguridad gestión de clavesPermite a las organizaciones almacenar de forma segura sus claves privadas del certificado de firma de código mediante la integración con los líderes de la industria. Módulos de seguridad de hardware (HSM) con certificación FIPS. Esta integración elimina los riesgos potenciales asociados con claves robadas, dañadas o mal utilizadas, ya que las claves privadas nunca salen del HSM durante la firma de código.

Conclusión

En conclusión, las recientes actualizaciones de los Requisitos Base para Certificados de Firma de Código realizadas por el CA/Browser Forum enfatizan la importancia de proteger las claves privadas de los certificados de firma de código. Las organizaciones deben adaptarse a estas actualizaciones implementando medidas robustas, como el uso de Módulos de Criptografía de Hardware que no solo cumplen, sino que superan los requisitos de los estándares FIPS 140-2 Nivel 2 o Common Criteria EAL 4+. Las organizaciones pueden reforzar la confianza, la integridad y la autenticidad en sus aplicaciones de software priorizando la seguridad de las claves privadas de los certificados de firma de código.

Referencia: Requisitos básicos para la firma de código

Descubra nuestra

Blogs relacionados

proteger su software y usuarios

Las mejores herramientas de firma de código para 2026

Enero 1, 2026
Generar confianza digital mediante la firma de código alineada con la CRA

Generar confianza digital mediante la firma de código alineada con la CRA

25 de octubre de 2025
Criptografía híbrida para la transición a CNSA 2.0

Criptografía híbrida para la transición a CNSA 2.0

18 de septiembre de 2025

Explore

Más temas