Certificados de firma de código OV y EV de Comodo, Sectigo, DigiCert y GoGetSSL, desde $219/año. La mayoría de los pedidos se emiten en 1-7 días hábiles y se envían con un token de hardware, o puedes firmar mediante cloud HSM. Respaldado por una garantía de devolución de dinero de 25 días.
Certificados de Firma de Código OV vs EV
Existen dos niveles de validación, y la elección entre ellos depende de quién firma y qué firma.
- OV (Organization Validation) es el nivel estándar. La CA verifica la existencia legal de una empresa registrada y emite el certificado a esa organización. Comodo y Sectigo también emiten certificados equivalentes a OV para personas físicas verificadas, a veces denominados Individual Validation (IV), para desarrolladores independientes sin empresa registrada. Las opciones OV de SSL Dragon comienzan desde $219/año.
- EV (Extended Validation) requiere una verificación empresarial más exhaustiva conforme a las directrices EV del CA/Browser Forum. Solo las organizaciones registradas son elegibles; los particulares no. EV es el único nivel aceptado para firmar controladores en modo kernel de Windows, y muchas políticas de adquisición y auditoría empresarial lo exigen. Las opciones EV de SSL Dragon comienzan desde $287/año.
| OV / Individual | EV | |
|---|---|---|
| Verificación de identidad | Empresa o particular | Organización registrada (no particulares) |
| Comportamiento de SmartScreen | Genera reputación por hash de archivo | Genera reputación por hash de archivo |
| Firma de controladores en modo kernel de Windows | No elegible | Elegible |
| Precio inicial (SSL Dragon) | $219/año | $287/año |
| Ideal para | Aplicaciones en modo usuario, scripts, presupuesto reducido | Firma de controladores, garantía de identidad, adquisiciones |
Una nota sobre SmartScreen: una actualización de 2024 al Microsoft Trusted Root Program cambió la forma en que se acumula la reputación. La reputación de SmartScreen ahora se genera por hash de archivo y volumen de descargas, independientemente del tipo de certificado. EV ya no otorga confianza instantánea en SmartScreen. Tanto los binarios firmados con OV como con EV generan reputación de la misma manera una vez que están en circulación.
Elige OV si firmas aplicaciones en modo usuario y quieres el nivel de precio más bajo. Elige EV si firmas controladores en modo kernel de Windows, necesitas la máxima garantía de identidad, o tienes requisitos de adquisición que especifican EV explícitamente.
Token de Hardware, Cloud HSM o Dispositivo Propio
Desde el 1 de junio de 2023, el CA/Browser Forum exige que la clave privada de todo certificado de confianza pública sea generada y almacenada en hardware que cumpla con FIPS 140-2 Level 2 o Common Criteria EAL 4+. Ya no se emiten archivos .pfx descargables. Los compradores eligen una de tres modalidades de entrega:
- Token USB enviado por la CA. La CA envía por correo un token USB FIPS 140-2 Level 2 precargado (normalmente un YubiKey) a la dirección verificada del pedido.
- Dispositivo compatible propio. Si tu equipo ya opera un HSM o token FIPS 140-2 Level 2 o Common Criteria EAL 4+, la CA emite el certificado contra una atestación de ese dispositivo.
- Servicio de firma en cloud HSM. La clave privada se genera y almacena en un cloud HSM gestionado por la CA, como DigiCert KeyLocker, la firma en la nube de Sectigo o SSL.com eSigner. No hay token físico que enviar, y la firma se integra perfectamente en pipelines CI/CD.
Un token USB es la opción más sencilla para firmas manuales ocasionales; la firma en la nube se adapta mejor a compilaciones automatizadas. Las tres modalidades comparten la misma infraestructura de clave pública (PKI): el certificado vincula tu identidad verificada a una clave pública, el hardware protege la clave privada, y la firma digital resultante es la que verifica Windows.
Los pasos de configuración están en nuestros tutoriales de firma de código.
Nuevo Limite de Validez de 460 Dias (Vigente desde Marzo de 2026)
A partir del 1 de marzo de 2026, los certificados de confianza pública tienen una validez maxima de 460 dias (aproximadamente 15 meses), frente al maximo anterior de 39 meses. El cambio proviene del CA/Browser Forum Ballot CSC-31. Los pedidos plurianuales siguen disponibles, pero el certificado en si se reemite dentro del plazo adquirido en lugar de abarcar todo el periodo.
Lo que esto significa a nivel de pedido:
- Un nuevo certificado individual tiene un limite de validez de ~15 meses
- Los pedidos de 2 y 3 anos siguen disponibles, con reemision durante el plazo
- Los pedidos instalados en HSM pueden cubrir el plazo completo adquirido, pero requieren reemision anual
- Los certificados emitidos antes del 1 de marzo de 2026 siguen siendo validos hasta su fecha de vencimiento original
El codigo correctamente sellado con marca de tiempo sigue siendo de confianza mas alla de la fecha de vencimiento del certificado, por lo que el software que ya has firmado y distribuido no se ve afectado. Solo cambia la frecuencia de renovacion.
Comparativa de Certificados de Firma de Codigo por CA y Precio
SSL Dragon ofrece opciones de cuatro Autoridades de Certificacion. Aqui se muestra como se comparan las opciones OV y EV en precio inicial, entrega de hardware y tiempo de emision.
| Certificado | Validacion | Precio Inicial | Entrega de Hardware | Emision |
|---|---|---|---|---|
| Comodo Code Signing | OV / Individual | $219/año | Token USB o HSM | 1-7 dias |
| Sectigo Code Signing SSL | OV / Individual | $219/año | Token USB o HSM | 1-7 dias |
| GoGetSSL Code Signing SSL | OV / Individual | $289/año | Token USB o HSM | 1-7 dias |
| DigiCert Code Signing | OV | $400/año | Token USB, HSM o KeyLocker cloud | 1-7 dias |
| Comodo EV Code Signing | EV | $287/año | Token USB o HSM | 1-7 dias |
| Sectigo EV Code Signing | EV | $287/año | Token USB o HSM | 1-7 dias |
| GoGetSSL Code Signing EV SSL | EV | $369/año | Token USB o HSM | 1-7 dias |
| DigiCert EV Code Signing | EV | $685/año | Token USB, HSM o KeyLocker cloud | 1-7 dias |
Comodo y Sectigo OV comienzan ambos desde $219/año y son las opciones de confianza publica mas economicas de esta pagina. DigiCert se situa en el extremo premium, $400 para OV y $685 para EV, y suele ser elegido por compradores cuyos contratos o marcos de cumplimiento nombran especificamente a DigiCert. GoGetSSL es la opcion de mejor relacion calidad-precio en el nivel EV a $369/año. Las cuatro CAs envian tokens de hardware, y DigiCert ademas ofrece firma en la nube KeyLocker para flujos de trabajo sin HSM fisico.
Por que la Firma de Codigo Gratuita No es Realista
Ninguna Autoridad de Certificacion de confianza publica ofrece firma de codigo gratuita a partir de 2026.
Dos costes reales lo hacen inviable:
- La CA debe verificar la identidad del editor (organizacion o particular)
- Desde junio de 2023, la clave privada debe residir en hardware compatible con FIPS, cuyo coste debe asumir alguien
Los certificados autofirmados pueden generarse con OpenSSL sin ningun coste, pero Windows, macOS y los navegadores no confian en ellos, por lo que el aviso de «Editor desconocido» permanece. Si el precio es el factor determinante, Comodo Code Signing y Sectigo Code Signing OV (o Individual Validation para desarrolladores independientes) son los productos de nivel de entrada a $219/año.
Que Puedes Firmar con un Certificado de Firma de Codigo
Un certificado de cualquier CA disponible en SSL Dragon puede firmar:
- Binarios e instaladores de Windows: archivos .exe, .dll, .cab, .ocx, .msi y .xap firmados mediante Microsoft Authenticode
- Controladores de Windows: controladores en modo usuario (OV o EV) y controladores en modo kernel (solo EV)
- Aplicaciones Java: archivos .jar firmados con jarsigner
- Scripts y macros: scripts de PowerShell, VBScript y macros VBA de Microsoft Office
- Otros formatos: paquetes Adobe AIR, archivos de objeto Mozilla y Microsoft Silverlight (heredado pero aun valido)
- Firmware y software IoT
- Contenedores y paquetes de software
El mismo certificado cubre la mayor parte de la lista anterior; el caso de los controladores en modo kernel es el unico que obliga a usar el nivel EV.
Certificados de Firma de Codigo vs Certificados SSL/TLS
Un certificado SSL/TLS cifra la conexion entre un navegador y un sitio web. Un certificado de firma de codigo firma digitalmente el software para que el sistema operativo pueda verificar quien lo publico y que el archivo no ha sido modificado.
Los dos no son intercambiables: uno protege un dominio, el otro acredita el origen de un ejecutable. Ambos son certificados X.509 emitidos por una Autoridad de Certificacion, lo que explica la confusion entre ellos.
Preguntas frecuentes
Es un certificado X.509 que permite a un editor adjuntar una firma digital verificable al software. A diferencia de un CSR (que es solo la solicitud de pedido enviada a la CA), el certificado emitido vincula una identidad verificada a una clave pública que los sistemas operativos utilizan para confirmar el origen de un archivo.
Copiar enlace
La verificación EV suele tardar entre 3 y 5 días hábiles más que la OV, y solo EV califica para la firma de controladores en modo kernel. Los precios, las verificaciones de identidad y la comparación del comportamiento de SmartScreen se encuentran en la sección OV vs EV anterior.
Copiar enlace
Un token de hardware es una de las tres opciones. Los servicios de firma en la nube como DigiCert KeyLocker y SSL.com eSigner omiten el token físico por completo: la clave reside en un HSM gestionado por la CA y se firma a través de una API, lo que funciona bien para CI/CD. Consulta la sección de entrega de hardware más arriba.
Copiar enlace
Máximo 460 días por emisión según las reglas actuales. Firma siempre con una autoridad de sellado de tiempo (tsa.digicert.com de DigiCert o timestamp.sectigo.com de Sectigo) para que los binarios sigan siendo de confianza después de la expiración. Contexto completo en la sección de Validez de 460 Días mencionada anteriormente.
Copiar enlace
Ninguna CA de confianza pública las emite. El razonamiento completo y las alternativas de pago más económicas se encuentran en la sección Por qué la firma de código gratuita no es realista que aparece más arriba.
Copiar enlace
Cualquier certificado de firma de código EV. El portal WHQL de Microsoft y el flujo de firma de atestación rechazan directamente los certificados que no son EV.
Copiar enlace
Entre 1 y 7 días hábiles según la CA y el nivel de validación. EV suele tardar más que OV porque la verificación de la organización es más exhaustiva, así que planifica tiempo adicional si tienes una fecha de lanzamiento ajustada.
Copiar enlace
Sí, para la firma general de binarios multiplataforma, incluidos archivos .jar y muchos formatos de contenedor. La distribución en la App Store de macOS requiere un programa separado de Apple Developer ID; la firma en Linux está menos estandarizada, pero es compatible con la mayoría de los formatos de paquetes.
Copiar enlace
¿No sabes lo que necesitas?
Usa nuestro SSL Wizard para seleccionar las opciones que se aplican a tu caso y te ayudaremos a encontrar el certificado SSL adecuado.
¿No sabes lo que necesitas?
Nuestros clientes y cifras clave
Rated 4.8 de 5 por 1222 clientes
Great selection of certificates with a clear definition of properties for each certificate makes it easy to choose the right one.
Easier and cheaper than going directly and ordering via the vendor, thank you for the information and the simple shopping experience.
Excellent customer service when I ordered the wrong cert! The support team then helped me get the correct cert and refunded me on the incorrect cert I bought! Very fast and a happy customer.