bg-blog-articles

El plazo para firmar el código de confianza se reduce a 460 días

Los certificados de firma de código pronto tendrán una vida útil mucho más corta. Una nueva norma del sector aprobada el 17 de noviembre de 2025 reduce su validez máxima de 39 meses a 460 días, a partir del 1 de marzo de 2026. El cambio aparece en la actualización de los Requisitos Básicos de Firma de Código v3.10.0.

Código-Firma-Vailidty

Todas las AC importantes del grupo de trabajo respaldaron el cambio: 7 votaron «SÍ», 2 se abstuvieron, ninguna se opuso. En cuanto a la plataforma, el único proveedor participante, Microsoft, también votó «SÍ». El claro consenso señala una amplia alineación de la industria hacia una higiene más estricta de los certificados.

¿Qué es lo que impulsa la reducción de la vida útil de los certificados?

A finales de 2024, los investigadores de HarfangLab descubrieron la operación Hijack Loader, una campaña en la que los delincuentes utilizaban certificados de firma de código válidos para firmar malware creado para desplegar el ladrón de información Lumma. Como los archivos llevaban firmas legítimas, el malware pasó muchos controles de seguridad y llegó a muchas más víctimas de lo que lo haría una carga útil sin firmar.

También se está produciendo un cambio más amplio en la confianza digital. Los certificados SSL ya han pasado de una validez de varios años a ciclos de rotación cortos. La firma de códigos sigue ahora el mismo camino. Ante la inminencia de la criptografía post-cuántica, el sector necesita una rotación más rápida, una gestión de claves más limpia y una verificación más frecuente. Los certificados de larga duración ralentizan esa transición y dejan demasiado margen para el compromiso silencioso.

¿Qué cambia para los promotores?

La nueva ventana de validez aterriza directamente dentro de los procesos de desarrollo, liberación y proveedor. El cambio obliga a adoptar nuevos hábitos en toda la cadena:

  • Los sistemas que dependen de claves a largo plazo necesitarán una reestructuración: Los servidores de construcción que almacenan un certificado durante años no sobrevivirán al ciclo más corto. Los equipos deben rotar las claves según lo previsto, actualizar las configuraciones de compilación y evitar que caduquen inesperadamente a mitad del lanzamiento.
  • Los entornos de firma protegidos por aire se enfrentarán a una logística más estricta: Sectores como el control industrial, la sanidad y la administración pública suelen llevar certificados a mano a redes aisladas. Ahora necesitan ciclos de importación predecibles y un seguimiento de las renovaciones para que el software firmado no se detenga a la espera de un nuevo certificado.
  • Las herramientas de firma heredadas se romperán a menos que se actualicen: Las secuencias de comandos antiguas que codifican de forma rígida las rutas de los certificados o que esperan una única clave de larga duración fallarán cuando dicha clave caduque. Las cadenas necesitan una selección dinámica de certificados y una recuperación automatizada, en lugar de carpetas estáticas.
  • Los incidentes de fuga de claves son más fáciles de contener: Los atacantes no pueden confiar en una certificación plurianual que siga siendo válida mucho después de una violación. Las organizaciones siguen necesitando revocar rápidamente, pero el radio de explosión se reduce.
  • Los equipos de conformidad e identidad funcionarán con un reloj más apretado: Los equipos que gestionan la validación de EV u organizaciones deben ajustar sus calendarios internos para que los retrasos en la renovación no bloqueen los lanzamientos de productos.

Disponibilidad del Certificado de Firma de Código y Requisitos del HSM

Las opciones de firma de código dependen de la Autoridad de Certificación, y esto afecta directamente a cómo gestionas tus claves:

  • DigiCert y GoGetSSL sólo ofrecen certificados de firma de código de 1 año. Puedes elegir un módulo de seguridad de hardware (HSM) proporcionado por la CA o utilizar tu propio HSM.
  • Sectigo (Comodo) lets you order certificates for up to 3 years, but the setup changes:
    • Para un certificado de 1 año, puedes utilizar un HSM proporcionado por la CA o tu propio HSM.
    • For 2- or 3-year certificates, you must use your own HSM. No CA hardware is provided.

Si optas por el plurianual, asumes el control total del almacenamiento y la seguridad de las llaves.

¿Qué significa que seas tú quien envíe las construcciones?

La ventana de 460 días cambia sobre todo una cosa: el ritmo. Firmar deja de ser una tarea rara y se convierte en parte de tu ritmo de publicación. Te das cuenta antes de que un concurso está envejeciendo. Y tu pipeline se mantiene más limpio porque la rotación está integrada en el flujo, no es una emergencia.

Para los clientes de SSL Dragon, este cambio se ajusta a la forma en que ya trabajan la mayoría de los equipos. Los ciclos más cortos se ajustan a los calendarios de publicación modernos, por lo que es menos probable que te sorprenda un certificado caducado justo antes de una entrega. Si te estás pasando a la firma en la nube o a las claves basadas en HSM, la transición es aún más suave, y la rotación se produce silenciosamente en segundo plano.

La tendencia es clara: Confianza más corta, rotación más rápida

Una vida útil más corta no solucionará todos los riesgos de la cadena de suministro, pero empuja al sector hacia prácticas más sanas. Las claves de firma ya no pueden pasar desapercibidas durante años, y los flujos de trabajo de liberación deben mantenerse alineados con el nuevo ritmo. Marzo de 2026 se acerca rápidamente, y las cadenas de suministro que se adapten pronto evitarán la lucha posterior.

Opinión de SSL Dragon

Desde nuestro punto de vista, este cambio es una buena noticia. Crea hábitos más limpios y reduce el daño que puede causar una clave perdida o robada. Los equipos que más sufren los problemas con los certificados rara vez son los que tienen malas intenciones. Son los que tenían un único cert de larga duración enterrado en una vieja máquina de construcción y se enteraron de ello en el peor momento posible. Una ventana de 460 días pone ese riesgo al descubierto.

Para nuestros clientes, el cambio tiene que ver más con la concienciación que con la carga de trabajo. La ventana más corta hace que la rotación de certificados forme parte del lanzamiento natural, en lugar de ser una tarea de mantenimiento poco frecuente. El ciclo más rápido también deja al descubierto los casos en los que las tuberías más antiguas o las máquinas olvidadas siguen dependiendo de certificados de larga duración sin que nadie se dé cuenta, que es a menudo donde aparecen los retrasos o las lagunas de seguridad.

Si es la primera vez que utilizas la firma de código, esta actualización establece unas expectativas correctas. La confianza no es algo que permanezca intacto durante años. Se mueve con el software que protege. En la nueva ventana todo gira en torno a la protección y la previsibilidad, y estamos aquí para ayudar a los clientes a elegir los productos y flujos de trabajo adecuados para que la transición sea suave, no perturbadora.

Fuente: Foro CA/Browser – Votación CSC-31: Reducción de la vida útil de los certificados de firma de código

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Una imagen detallada de un dragón en vuelo
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.