hero-faq-1

Firma de códigos

¿Cuál es la diferencia entre firma de código y certificados SSL?

Los certificados SSL protegen las comunicaciones entre un cliente (navegador) y un servidor (sitio web) cifrando los datos transmitidos, mientras que los certificados de firma de código firman digitalmente software y scripts para verificar su autenticidad e integridad.

Copiar enlace

¿Cómo pasar la validación ampliada para certificados de firma de código Sectigo/Comodo?

Estos son los requisitos para obtener un certificado de firma de código con Extended Validation (EV) de Sectigo/Comodo:

  1. Formularios de inscripción: Rellene los formularios de solicitud necesarios para el certificado.
  2. Autenticación de la organización: Demostrar la legitimidad de la organización como entidad empresarial genuina.
  3. Existencia operativa: Al menos tres años de funcionamiento activo y registro.
  4. Dirección física: Proporcione una dirección física comercial válida para su verificación.
  5. Verificación telefónica: Compruebe el número de contacto de la organización a través de bases de datos gubernamentales o de terceros.
  6. Llamada de verificación final: Reciba una llamada de la CA para validar los detalles de la organización y la autenticidad.

Para una explicación detallada de cada paso, consulte nuestra guía sobre Validación ampliada para certificados Sectigo/Comodo.

Copiar enlace

¿Cómo pasar la validación de organización para certificados Sectigo/Comodo Code Signing?

Para aprobar la validación de organización (OV) de un certificado de firma de código emitido por Sectigo se requiere lo siguiente:

  • Autenticación de identidades
  • Autenticación de organizaciones
  • Localidad Presencia
  • Verificación telefónica
  • Llamada de verificación final

Para completar cada paso, siga nuestra guía sobre cómo validar un certificado Sectigo OV Code Signing.

Copiar enlace

Revocación de certificados de firma de código

La revocación de certificados es el proceso de invalidación de un certificado de firma de código antes de su fecha de caducidad prevista. Es una buena práctica estándar de la industria del software revocar cualquier certificado de firma de código asociado a un fallo de seguridad, ya que ese certificado podría contener código comprometido.


La Declaración de Prácticas de Certificación de Sectigo
y el acuerdo de licencia obligan a la empresa a revocar cualquier certificado que, según su conocimiento, pueda utilizarse para actividades ilegales o deshonestas.

Dado que un mismo certificado puede utilizarse tanto para fines correctos como incorrectos, Sectigo confía en terceros creíbles para que proporcionen información correcta sobre los certificados Sectigo utilizados para programas maliciosos.

Sectigo puede revocar el certificado de firma de código en los siguientes casos:

  • Un ciberdelincuente roba o altera un certificado de firma de código válido
  • Un contratista o empleado utiliza un certificado válido con fines engañosos sin conocimiento de la empresa.
  • El código, el sitio web o el software de la empresa se infectan con malware u otros ciberataques.

Como autoridad de certificación, Sectigo no puede confiar en la autodeclaración de falsos positivos por parte de los propietarios de certificados de firma de código, ya que es posible que no sepan que sus certificados o bienes digitales están en peligro.

Fuente: Base de conocimientos de Sectigo

Copiar enlace

¿Qué es un certificado de firma de código?

Un certificado de firma de código es un archivo digital que verifica la autenticidad e integridad del software mediante su firma digital, lo que garantiza que no ha sido manipulado y que procede de una fuente de confianza. Así es como funciona un certificado de firma de código.

Copiar enlace

Certificados de firma de código: Requisitos básicos de longitud de clave

A partir del 1 de junio de 2021, y en cumplimiento de los
Requisitos básicos de firma de código del Foro CA/Browser
Sectigo exigirá que las claves RSA tengan un tamaño mínimo de 3072 bits.

Al generar claves y CSR para certificados de firma de código, asegúrese de elegir una clave RSA con un tamaño de clave de 3072 o 4096 bits.

Sólo hay que cambiar el tamaño de las teclas, el resto del proceso sigue igual. Los certificados RSA de 2048 bits existentes seguirán funcionando y no es necesario modificarlos.

Los certificados solicitados con claves ECC (curva elíptica) no se ven afectados y Sectigo seguirá firmando certificados con claves que utilicen las curvas NIST P-256 y P-384.

Fuente: Base de conocimientos de Sectigo

Copiar enlace

¿Cómo reemitir un certificado de firma de código de Sectigo/Comodo?

Estos son los pasos que debe seguir para volver a emitir su certificado de firma de código Sectigo/Comodo:

1) Inicie sesión en https://secure.trust-provider.com/products/frontpage?area=ssl utilizando el nombre de usuario y la contraseña que utilizó cuando configuró inicialmente su certificado Sectigo/Comodo Code Signing;
2) Una vez iniciada la sesión, busque el botón «Sustituir» y haga clic en él;
3) Iniciará el proceso de reemisión de su certificado Sectigo/Comodo Code Signing.
4) Siga los pasos e instrucciones que vienen a continuación, hasta completar la reemisión del certificado Sectigo Code Signing.

Copiar enlace

¿Cómo encontrar la clave privada de mi certificado de firma de código?

A partir del 1 de junio de 2023, las normas del sector obligan a almacenar las claves privadas de los certificados de firma de código en hardware certificado FIPS 140 Nivel 2, Common Criteria EAL 4+. Este cambio mejora la seguridad, alineándose con las normas de firma de código EV. Las autoridades de certificación ya no pueden admitir la generación de claves basada en navegador ni las instalaciones en ordenador portátil/servidor. Las claves privadas deben estar en tokens/HSM certificados FIPS 140-2 Nivel 2 o Common Criteria EAL 4+. Para firmar el código, acceda al token/HSM y utilice las credenciales de certificado almacenadas.

De acuerdo con las nuevas directrices, su clave privada debe estar en el token enviado por la CA o en su módulo de seguridad de hardware.

Copiar enlace

He añadido mi teléfono a mi lista DUNS, todavía no hay validación. ¿Por qué?

Algunas Autoridades de Certificación (especialmente Sectigo y DigiCert) pueden pedirle que actualice o añada su número de teléfono al listado DUNS de su empresa   , como parte de su proceso de Validación Extendida o de Negocio.

Después de ponerse en contacto con Dun & Bradstreet y añadir su número de teléfono a la lista DUNS de su empresa   , pueden pasar entre 5 y 40 días hasta que Dun & Bradstreet ponga a disposición del público la actualización de su lista DUNS . Cuando hable por teléfono con Dun & Bradstreet, es posible que le digan que han añadido o actualizado su número de teléfono. Sin embargo, sólo iniciaron el proceso. Su número de teléfono aparecerá en el sitio web de Dun & Bradstreet(https://www.dandb.com/) entre 5 y 40 días después.

Usted sabrá que su listado DUNS ha sido realmente actualizado, sólo cuando usted reciba un mensaje de correo electrónico de Dun & Bradstreet diciendo que su perfil DUNS ha sido actualizado con éxito. Su número de teléfono empezará a aparecer en su listado DUNS sólo después de que reciba este correo electrónico de ellos. Además, las Autoridades de Certificación (como Sectigo y DigiCert) pueden verificar su número de teléfono basándose en su listado DUNS de sólo cuando su número de teléfono está disponible públicamente. Por eso, usted o nosotros debemos ponernos en contacto con la Autoridad de Certificación para solicitarle que compruebe su listado DUNS sólo después de recibir esa confirmación por correo electrónico.

En el pasado, pedimos a los representantes del Departamento de Validación de Sectigo y DigiCert que se pusieran en contacto directamente con Dun & Bradstreet, y que comprobaran el número de teléfono de nuestro cliente con Dun & Bradstreet. Lo hicimos después de que nuestros clientes nos dijeran que habían añadido o actualizado su número de teléfono en su listado DUNS de . En todas las ocasiones, los representantes de Dun & Bradstreet informaron a Sectigo y DigiCert de que los datos de nuestros clientes no eran correctos. La actualización de la lista DUNS está «en curso» y «aún no se ha completado», y se les aconsejó que se pusieran en contacto con Dun & Bradstreet cuando los clientes reciben un mensaje de correo electrónico de Dun & Bradstreet que les confirma que su DUNS listado fue actualizado.

Si esperar entre 5 y 40 días es demasiado, le recomendamos que recurra a otros métodos para validar su empresa y sus números de teléfono, como presentar una carta legal redactada por un notario, un abogado o un contable público certificado. Este método le permitirá pasar la validación Business o Extended Validation en 1-2 días.

Copiar enlace