¿Qué método de entrega de certificados de firma de código elegir?

Los últimos cambios en la normativa del Foro CA/Browser obligan a los usuarios a instalar certificados de firma de código en módulos de seguridad de hardware (tokens físicos de hardware). Las organizaciones y particulares que deseen certificados de firma de código con validación de organización (OV) o validación individual (IV) pueden adquirir tokens de certificado preconfigurados o solicitar un certificado en sus dispositivos de hardware existentes.

Al adquirir un certificado de firma de código, es imprescindible seleccionar el método de entrega adecuado durante la compra, ya que no podrá modificar esta elección posteriormente.

¿Qué es una ficha electrónica?

Un token electrónico (e-token) es un pequeño dispositivo de hardware para la autenticación segura y el cifrado de datos. A menudo se utiliza en tecnología de la información y ciberseguridad para proporcionar una capa adicional de seguridad. Este dispositivo genera contraseñas de un solo uso (OTP) o claves criptográficas para acceder a sistemas, redes o aplicaciones protegidos. Los particulares y las organizaciones suelen utilizar fichas electrónicas para salvaguardar datos sensibles y evitar accesos no autorizados.

¿Qué es un módulo de seguridad de hardware (HSM)?

Un módulo de seguridad de hardware (HSM) es un dispositivo de hardware a prueba de manipulaciones que ofrece servicios criptográficos, gestión de claves y almacenamiento seguro de datos confidenciales, como claves criptográficas, certificados y firmas digitales. Salvaguarda los activos digitales críticos, protegiéndolos de accesos no autorizados.

Los HSM son dispositivos aislados e independientes, lo que significa que están separados del sistema host y son menos susceptibles a los ataques basados en software contra el sistema operativo. Varios sectores utilizan HSM, como el financiero, el gubernamental, el sanitario y el tecnológico, en los que son esenciales estrictos requisitos de seguridad.

¿Cómo mejoran los HSM la seguridad de la firma de código?

Los módulos de seguridad de hardware mejoran la seguridad de los certificados de firma de código de las siguientes maneras:

• Protección de claves: Los HSM almacenan las claves privadas en un entorno de hardware seguro, lo que dificulta enormemente que los atacantes accedan a ellas o las roben. Las claves privadas nunca salen del HSM, lo que reduce el riesgo de exposición.
• Firma segura: El proceso de firma se produce dentro del HSM, salvaguardando el proceso de firma de código de amenazas externas.
• Resistencia a la manipulación: Los HSM son resistentes a la manipulación, y cualquier intento físico de acceder o manipular el dispositivo suele destruir las claves almacenadas, inutilizándolas para los atacantes.
• Autenticación multifactor: Muchos HSM admiten la autenticación multifactor para administradores, lo que añade una capa adicional de seguridad al acceder a operaciones criptográficas.

Métodos de entrega de certificados de firma de código

1. Ficha + Envío

Recomendado para la mayoría de los usuarios

El método Token + Envío le permite solicitar un token preconfigurado directamente a la Autoridad de Certificación. El precio de compra incluye tanto la ficha de hardware como los gastos de envío. Esta opción es ideal para la mayoría de los usuarios, ya que ofrece sencillez y comodidad a la hora de adquirir e implantar el certificado. A continuación se indican los gastos de envío simbólicos:

Sectigo/Comodo

• Ficha + Envío urgente (EE.UU.) $147.00 USD
• Ficha + Envío internacional $137.00 USD
• Ficha + Envío estándar (EE.UU.) $95.00 USD

Digicert y GoGetSSL

• Ficha + Envío (EE.UU. e internacional) $126 USD

2. Instalación en HSM o Token existente

Para usuarios avanzados

Para aquellos que ya posean un Módulo de Seguridad de Hardware compatible, está disponible el método “Instalar en HSM o Token Existente”. Puedes instalar el certificado de firma de código en tu dispositivo hardware si estás familiarizado con el software asociado. Al solicitar certificados Sectigo/Comodo, debe proporcionar un paquete de atestación para su HSM como requisito.

Este método se recomienda específicamente para usuarios avanzados con experiencia en la gestión de hardware de terceros, ya que SSL Dragon y la Autoridad de Certificación no pueden ofrecer soporte para dispositivos HSM externos. Las marcas de HSM compatibles con este método deben estar certificadas como FIPS 140 Nivel 2, Common Criteria EAL 4+ o equivalente. Se admiten las siguientes marcas y fichas HSM:

Sectigo/Comodo

• Yubikey 5 FIPS
• LUNA Network Attached HSM, versión 7+

DigiCert y GoGetSSL

Puede utilizar su propio token compatible o instalar el certificado en un HSM existente:

Tokens admitidos:

• SafeNet eToken 5110 CC para certificados de clave RSA 4096 bits y ECC P-256 bits o superior.
• SafeNet eToken 5110 FIPS para certificados de clave ECC P-256 y P-384 bits.
• SafeNet eToken 5110+ FIPS para certificados de clave RSA 4096 bits y ECC P-256 bits o superior.

Su propio HSM:

• Debe disponer de un HSM Common Criteria EAL4+ o FIPS 140-2 de nivel 2.
• Una vez que tenga el HSM, envíe una solicitud de firma de certificado (CSR) junto con su solicitud de certificado.
• Al finalizar, recibirá una copia de su certificado por correo electrónico.

Cumplir su decisión

Una vez finalizada la compra, no podrá cambiar el método de entrega elegido. Por lo tanto, considere cuidadosamente sus necesidades y seleccione de antemano la opción más adecuada. Si necesita un método de entrega diferente, puede cancelar su pedido a través del panel de control de su cuenta y comprar otro certificado con la opción que prefiera.

Conclusión

A medida que evolucionan las ciberamenazas, las soluciones criptográficas tradicionales basadas en software son cada vez más vulnerables. Los HSM ofrecen una sólida defensa contra ataques sofisticados. Si conoce las opciones disponibles y selecciona el método de entrega de certificados adecuado, podrá garantizar una adquisición eficiente y sin problemas de su certificado de firma de código, salvaguardando su software y sus activos digitales con medidas de seguridad mejoradas.