Los certificados OV Code Signing son para los desarrolladores de software lo que los certificados SSL son para un sitio web. Sin ellos, el editor sigue siendo desconocido, mientras que el código es muy susceptible de sufrir ciberataques. Como ocurre con cualquier producto PKI, es esencial proteger las claves de firma de código. Pero al igual que ocurre con los certificados SSL normales, a veces las claves caen en las manos equivocadas y acarrean todo tipo de problemas.
Si no que se lo pregunten a Nvidia, la renombrada empresa tecnológica que recientemente ha visto cómo le robaban no uno, sino dos de sus certificados de firma de código OV. dos de sus certificados de firma de código OV. Los hackers del conocido grupo Lapsus$ utilizaron los certificados comprometidos para firmar su software malicioso y hacer que pareciera que procedía de la propia Nvidia.
Aunque los ataques de esta magnitud son infrecuentes, sus daños a la seguridad y a la reputación podrían ser importantes. La lección aprendida de esta última brecha es sencilla: ¡no almacene certificados y claves de firma de código en su servidor!
El foro CA/Browser reaccionó rápidamente y modificó la emisión e instalación de certificados de firma de código votando a favor de emitirlos en dispositivos especiales de hardware de seguridad física a partir del 15 de noviembre.
Cambios en la firma de códigos: visión general
El cambio en sí no es innovador, ya que las CA ya entregan los certificados de firma de código con Extended Validation a los clientes en dispositivos USB o módulos de seguridad de hardware (HSM). Próximamente, se aplicará el mismo procedimiento a los certificados de firma de código de Validación Organizativa y Validación Individual.
Desde el punto de vista técnico, el hardware seguro incluirá dispositivos conformes con FIPS (Federal Information Processing Standards) como FIPS 140-2 Nivel 2, Common Criteria EAL 4+, o soluciones de firma (como mínimo) como:
- Módulos de seguridad de hardware (HSM) (dispositivos físicos o en la nube)
- Tokens de seguridad como herramientas físicas de hardware USB
- Servicios de almacenamiento y firma de claves
En la práctica, ya no tendrá que generar la solicitud de firma de certificado, ya que la CA se encargará de toda la parte técnica.
El motivo de la revisión de la firma de código
La mayoría de los cambios y mejoras del Foro CA/Browser se deben a problemas de seguridad emergentes que ya no pueden descuidarse. Esta en particular no es una excepción. Tras algunas debacles de gran repercusión, el Foro CA/B esbozó las normas de seguridad para la firma de código en el Requisitos básicos (BR) para la expedición y gestión de la firma de códigos (versión 2.8), actualizado mediante Votación CSC-13 – Actualización de los requisitos de protección de claves de abonado.
Como resultado, todos los certificados de firma de código, independientemente del método de validación, se enviarán en dispositivos de hardware seguros. Y, dado que las CA ya utilizan dispositivos físicos para entregar certificados EV de firma de código, los cambios deberían ser sencillos y sin complicaciones.
Los próximos cambios se confirman en la sección 16.3.1 Protección de la clave privada del suscriptor de los certificados de firma de código BR (versión 2.8). Esto es lo que dice:
“La CA DEBERÁ obtener una declaración contractual del suscriptor de que éste utilizará una de las siguientes opciones para generar y proteger sus claves privadas de certificado de firma de código en un módulo criptográfico de hardware con un factor de forma de diseño unitario certificado como conforme al menos con FIPS 140-2 nivel 2 o Common Criteria EAL 4+.”
¿Cómo debo prepararme?
Oficialmente, el ajuste se producirá el martes 15 de noviembre de 2022, a las 12.00 horas. a.m Hora universal coordinada (UTC). Puede utilizar un conversor de zona horaria para determinar tu hora local. Sin embargo, como ocurre a menudo, algunas CA como Sectigo y Digicert pueden empezar a desplegar los cambios antes de lo previsto para resolver cualquier problema potencial antes de la fecha límite oficial. Hasta el momento, no hemos recibido ninguna actualización de las CA sobre este asunto, así que les mantendremos informados.
Los nuevos requisitos afectarán a cualquiera que adquiera un certificado de firma de código OV o IV después de la fecha límite de noviembre. Si su certificado caduca fuera de plazo, tendrá que volver a expedirlo siguiendo las nuevas normas.
Los certificados de firma de código existentes emitidos antes del 15 de noviembre funcionarán según lo previsto. Puede seguir firmando su software como siempre. Después de que se produzcan los cambios, los solicitantes de firma de código tendrán que afirmar que almacenarán sus claves en una de las siguientes opciones:
- Un token de seguridad HSM o USB
- Una solución de generación y protección de claves basada en la nube
- Un servicio de firma que cumpla los requisitos establecidos en los requisitos básicos de CA/B Forum
Reflexiones finales
Las autoridades de certificación aún tienen que ultimar todos los detalles para emitir los certificados de firma de código tras el lanzamiento de noviembre. Esperamos un proceso de compra ágil similar a cómo se obtienen los certificados de firma de código EV. Las CA también le proporcionarán los tokens de seguridad para su clave privada, pero también tendrá la opción de utilizar los suyos propios si cumplen todos los requisitos de conformidad.
Vector administrador del sistema creado por macrovector – www.freepik.com
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10