Cómo validar los certificados de firma de código de Sectigo/Comodo

Última actualización por Dionisie Gitlan

Los certificados de firma de código Sectigo/Comodo siguen el mismo proceso de verificación. Dependiendo del nivel de validación que solicite, deberá presentar la documentación necesaria, como documentos de identidad expedidos por el gobierno y documentos oficiales de registro, para validar la identidad y existencia de su organización en un abrir y cerrar de ojos. Esta guía cubre la validación de organización, la validación ampliada y la validación individual para certificados de firma de código. Utilice los enlaces de anclaje para navegar por las secciones.

Validación de la Organización (VO)

La validación de organización (OV) verifica la legitimidad y autenticidad de una empresa u organización que solicita un certificado de firma de código. Garantiza que el solicitante está legalmente registrado y opera bajo una jurisdicción reconocida.

La autoridad de certificación (CA) establece el estatus del solicitante realizando comprobaciones en bases de datos y documentos oficiales para confirmar el nombre, la dirección y la existencia legal de la organización.

Al validar la organización, los certificados de firma de código garantizan a los usuarios que el software que están descargando o ejecutando procede de una fuente acreditada y verificada, lo que evita la advertencia “Editor desconocido” y reduce el riesgo de malware o manipulación no autorizada.

Para aprobar la validación de organización de un certificado de firma de código es necesario lo siguiente:

  • Autenticación de identidades
  • Autenticación de organizaciones
  • Localidad Presencia
  • Verificación telefónica
  • Llamada de verificación final

A continuación se explica cómo completar cada paso:

1. Autenticación de la identidad

Sectigo (lo mismo se aplica a los certificados de firma de código de Comodo) implementa la verificación de identidad para garantizar que la identidad declarada por el solicitante es legítima. Requiere la presentación de un documento de identidad con fotografía emitido por el gobierno, como un pasaporte, permiso de conducir, tarjeta de identidad personal o cartilla militar a Sectigo para su revisión exhaustiva.

Para proceder a la verificación de identidad, abre un ticket con Sectigo, adjuntando el documento de identidad con fotografía con el número de pedido para su validación.

2. Autenticación de organizaciones

Garantizar la legitimidad y el estado activo de su organización es el principal requisito para obtener un certificado de firma de código validado por la organización. Este proceso, conocido como Autenticación de la Organización, implica que la Autoridad de Certificación (CA) verifique que su empresa es una entidad legalmente registrada en su ubicación designada.

En la mayoría de los casos, la autoridad competente intentará verificar la situación de su empresa utilizando una base de datos gubernamental en línea. Cotejarán la información facilitada con el sitio web oficial de su municipio, estado o país, donde figuran los datos de registro de la entidad comercial.

La información que figura en la base de datos gubernamental debe ser idéntica a los datos que presentó a la CA para evitar retrasos en la emisión del certificado. Si una base de datos gubernamental en línea no está disponible o carece de registros actualizados, la AC utilizará uno de los siguientes métodos alternativos:

Documentos oficiales de registro

Puede presentar documentos oficiales de registro que demuestren la existencia legal de su organización. Estos documentos pueden incluir los estatutos de la empresa, una licencia de constitución o declaraciones DBA (Doing Business As) emitidas por su gobierno local.

Dun & Bradstreet

Otra forma es a través de Dun & Bradstreet, una empresa especializada en informes financieros sobre organizaciones. La AC puede aceptar un informe de crédito DUNS completo para verificar detalles específicos asociados a su empresa, cumpliendo así el requisito de autenticación de la organización.

Carta de opinión jurídica

También tiene la opción de obtener una carta de opinión jurídica. Este documento implica que un abogado o contable responda de la autenticidad y legitimidad de su organización. Aunque conseguir una carta de opinión legal puede requerir cierto esfuerzo, en algunos casos es la única forma de demostrar la identidad. Sectigo ofrece muestras de cartas de opinión legal para agilizar el proceso (al hacer clic en los enlaces siguientes, los formularios de muestra se descargarán en tu carpeta de descargas predeterminada):

La autenticación de la organización es sencilla si proporciona datos precisos y actualizados. Si fracasan los intentos de utilizar la Base de Datos Gubernamental en Línea, los métodos alternativos cubren cualquier jurisdicción en la que opere la AC.

3. Localidad Presencia

Otro requisito para obtener un certificado de firma de código validado por la organización es demostrar la presencia en la localidad. Confirma que su empresa tiene una presencia física en su ubicación registrada.

¿Qué es la Presencia Local?

La Presencia Local permite a la Autoridad de Certificación (CA) verificar que su entidad legal (organización) existe físicamente dentro de su país o estado registrado. La AC confirma la localidad (ciudad, estado, provincia, etc.) mencionada en su dirección en lugar de la dirección postal concreta.

Normalmente, la CA realiza esta verificación consultando una base de datos gubernamental en línea y cotejando los datos de registro, como la ciudad/estado de su dirección, con la información que usted facilitó durante el proceso de solicitud. Si los datos coinciden, habrá cumplido este requisito.

De forma similar a la autenticación de la organización, si la base de datos gubernamental en línea no es una opción o hay una discrepancia en la información proporcionada, hay varios métodos alternativos disponibles:

Documentos oficiales de registro

Puede presentar la documentación de su administración local a la AC. Estos documentos, como actas constitutivas, licencias o declaraciones de DBA, sirven como verificación oficial de la información que nos ha facilitado.

Dun & Bradstreet

Dun & Bradstreet proporciona informes financieros sobre empresas. La AC considera que la información contenida en sus informes es altamente fiable. Al presentar un informe de crédito DUNS completo, permite a la AC validar la dirección física asociada a su organización.

Carta de opinión jurídica

Una carta de opinión legal, a veces denominada carta de opinión profesional o POL, es un documento en el que un abogado o contable avala la legitimidad de su empresa. Aunque obtener estas cartas puede ser difícil y potencialmente costoso, sirven como prueba válida de su dirección física.

Cualquier método alternativo funcionará si los intentos de la AC de verificar la presencia de la localidad a través de las Bases de Datos Gubernamentales en Línea resultan infructuosos.

4. Verificación telefónica

La verificación telefónica requiere un número de teléfono activo y registrado asociado a su organización.

¿Qué es la verificación telefónica?

La Autoridad de Certificación (AC) debe asegurarse de que usted posee un número de teléfono verificable en una guía telefónica aceptable. Debe coincidir con la información que proporcionó durante el registro, incluido el nombre verificado de la empresa y la dirección física. Las CA pueden verificar su teléfono a través de los siguientes métodos:

Documentos oficiales de registro

Para comprobarlo, la AC consulta inicialmente las bases de datos gubernamentales en línea de su municipio, estado o país. Confirman si el número de teléfono indicado coincide con el nombre y la dirección asociados. Si todo encaja correctamente, habrá cumplido con éxito este requisito.

Sin embargo, dado que la mayoría de las bases de datos gubernamentales no muestran números de teléfono, se pueden emplear métodos alternativos para verificar esta información con la AC.

Directorio de terceros

La AC acepta otros directorios para verificar su número de teléfono. Normalmente, la CA se refiere a fuentes acreditadas como los informes de crédito de Dun and Bradstreet, pero algunos listados pueden no ser elegibles.

Si Sectigo le responde que su listado DUNS no contiene un número de teléfono, entonces debe ponerse en contacto con Dun & Bradstreet y pedirles que “añadan el número de teléfono de su empresa a su directorio empresarial y en el informe”.

Carta de opinión jurídica

Si las dos opciones anteriores no te funcionan, entonces la tercera y última opción para validar tu número de teléfono es pedir a un CPA (Certified Public Accountant), un Notario Latino, o un Abogado (Attorney) que escriba, firme y envíe una carta a Sectigo donde confirmen el nombre de tu empresa, dirección y número de teléfono.

5. Llamada de verificación final

El último paso del proceso de validación de la organización es sencillo. La Autoridad de Certificación (CA) iniciará una llamada de verificación con usted o con el solicitante designado, normalmente un administrador del sitio, para validar los detalles del pedido.

La última llamada de verificación confirma la información del pedido y acelera la emisión de su certificado. Para ello, la AC se pondrá en contacto con usted o con el solicitante especificado a través del número de teléfono verificado asociado a su organización. Tenga la seguridad de que el proceso es fácil. Asegúrese de su disponibilidad, ya que la llamada debería durar sólo unos minutos.

Si el número de teléfono designado no conecta directamente con su mesa, la AC empleará métodos alternativos para ponerse en contacto con usted.

Métodos alternativos

  1. Sistema interactivo de respuesta vocal(IVR): La AC intentará conectar con usted a través del IVR. Tenga la seguridad de que habrá un ser humano al otro lado de la línea. Ya está todo listo si su extensión aparece en la lista o usted la ha facilitado, o si se puede acceder a su teléfono a través del IVR.
  2. Transferencia o número alternativo: En ausencia de extensiones o de un IVR, la AC puede solicitar a la operadora (o a la persona que atienda la línea telefónica de su empresa) que transfiera la llamada o que le facilite su número directo. Cualquiera de los dos métodos será suficiente y permitirá a la AC ponerse en contacto con usted o con el solicitante designado.

Una vez conectado, responda a sus preguntas y habrá completado el último paso de validación.
Ahora sólo falta que la CA emita su certificado de firma de código. Recibirá más instrucciones por correo electrónico, incluida la información de seguimiento del envío y los pasos adicionales necesarios para configurar su vale de certificado.

Validación ampliada (EV)

Enhorabuena por haber adquirido un certificado de firma de código con validación ampliada. Aunque el proceso pueda parecer intimidatorio, es sencillo. Le apoyamos en cada paso del camino, garantizando una aprobación rápida y sin problemas.

Ahora vamos a hablar de los requisitos para obtener un certificado con Extended Validation (EV). Estos requisitos son coherentes entre las distintas autoridades de certificación, gracias al CA/B Forum, el organismo regulador que engloba a las autoridades de certificación y a las principales empresas de navegadores web. Han establecido los siguientes requisitos básicos que los solicitantes deben cumplir para obtener un certificado EV válido:

  1. Formularios de inscripción: Deberá rellenar los formularios necesarios para la solicitud del certificado.
  2. Autenticación de la organización: Se verificará la legitimidad de su organización para garantizar que se trata de una entidad empresarial auténtica.
  3. Existencia operativa: Debe demostrar que su organización lleva registrada y funcionando activamente al menos tres años.
  4. Dirección física: Se requerirá una dirección comercial física a efectos de verificación.
  5. Verificación telefónica: El número de contacto de su organización se verificará a través de bases de datos públicas del gobierno local o de terceros.
  6. Llamada de verificación final: La AC le llamará para confirmar los detalles y validar su organización.

El objetivo de estos requisitos es distinguir a las empresas legítimas de las demás y mantener la integridad del sistema de certificados EV. Si es usted una empresa de verdad, con oficina física, líneas telefónicas y otros elementos empresariales esenciales, superará la validación ampliada sin problemas.

1. Formularios de inscripción

Hay dos formularios de inscripción disponibles, y sólo requieren información básica sobre su organización y los datos de contacto de la persona responsable de la solicitud del certificado, conocida como contacto de la organización.

Para agilizar el proceso, puede preparar sus Formularios de inscripción con antelación, pero recuerde que necesitará su número de identificación de pedido de proveedor para enviar los formularios. Puede descargar ambos formularios a continuación:

Una vez que haya rellenado los formularios y reunido toda la información necesaria, estará listo para presentarlos. Sectigo proporciona un sistema de tickets de validación donde puedes cargarlos. Una vez enviado el formulario, recibirá un número de identificación de caso, que podrá utilizar como referencia si necesita ponerse en contacto con el equipo de asistencia.

Contacto organizativo

A lo largo del proceso de Validación Ampliada, se le denominará Contacto Organizativo. Esto significa simplemente que usted es el punto de contacto de su empresa durante el proceso de certificación.

Los certificados EV Code Signing permiten que su software eluda las advertencias de seguridad y elimine los avisos innecesarios durante la instalación, lo que se traduce en una experiencia de usuario más fluida y sin problemas. El formulario de inscripción sirve como primer paso para verificar que usted, como contacto de la organización, tiene autoridad para actuar en nombre de su organización.

Aunque esto pueda parecer riguroso, en última instancia redunda en beneficio de su empresa. Mientras sea un empleado autorizado, no tiene por qué preocuparse. Esta medida impide que los individuos se hagan pasar por empleados y soliciten certificados para programas informáticos engañosos. Tanto su organización como la Autoridad de Certificación desean evitar este tipo de incidentes.

¿Qué datos hay que incluir en el formulario de inscripción?

Los formularios de inscripción se centran en recopilar datos sobre su organización y el contacto organizativo. Deberá facilitar el nombre de la organización, el nombre completo del contacto de la organización, su cargo oficial y la firma manuscrita junto con la fecha y el lugar de la firma.

  • Nombre de su organización
  • Título oficial del contacto de su organización
  • Nombre completo de la persona de contacto de su organización
  • Firma del contacto de la Organización
  • Fecha y lugar de la firma
  • Datos de contacto del departamento de RRHH de su organización para verificar que la persona que ha solicitado la compra de un certificado de firma de código EV es un empleado a tiempo completo de la empresa.

Tenga en cuenta que no se aceptan firmas digitales o selladas. Por lo tanto, tendrá que imprimir el formulario, firmarlo manualmente y, a continuación, escanearlo o enviarlo por fax a la autoridad de certificación. Aunque enviarla por correo es una opción, se lo desaconsejamos encarecidamente, ya que retrasará considerablemente la expedición de su certificado.

2. Autenticación de organizaciones

El objetivo de la Autenticación de Organizaciones es verificar el registro legal de su empresa. Si su empresa opera bajo nombres comerciales, nombres ficticios o un DBA (Doing Business As), asegúrese de que toda la información es exacta y está actualizada.

Normalmente, las CA se basan en bases de datos gubernamentales en línea para autenticar su organización. Comprobarán el sitio web oficial de su país o estado que muestra el estado de registro de la entidad empresarial. Los datos que figuran en estas bases de datos deben coincidir con la información que usted facilita en el Formulario de inscripción. Cualquier discrepancia puede causar retrasos en la expedición del certificado.

Sin embargo, si los recursos en línea son insuficientes para la autenticación de la organización, existen métodos alternativos:

  1. Documentos oficiales de registro: Puede proporcionar a la AC los documentos oficiales de registro emitidos por su gobierno local. Por ejemplo, actas constitutivas, licencias o declaraciones DBA. Dichos documentos sirven como prueba de que su organización es una entidad empresarial auténtica y reconocida.
  2. Carta de opinión jurídica (POL): Otra opción es obtener una Carta de Opinión Legal, también conocida como Carta de Opinión Profesional. Este enfoque es especialmente conveniente si su empresa cuenta con expertos jurídicos internos. Un POL, expedido por un abogado o contable profesional autorizado, avala la legitimidad de su empresa y cumple todos los requisitos del certificado EV, excepto el Formulario de inscripción. Para más información y muestras de POL, consulta las directrices de Sectigo.

Evite errores comunes como datos de registro obsoletos o caducados, inclusión inexacta de varios nombres comerciales o información incompleta en el certificado o la inscripción para que el proceso sea rápido y sin problemas.

3. Existencia operativa

Demostrar la existencia operativa garantiza que su empresa ha estado activa durante al menos tres años. Si su empresa aún no ha alcanzado la marca de los tres años, existen métodos alternativos para verificar su existencia operativa.

La autoridad de certificación (AC) puede verificar la existencia de empresas bien establecidas consultando bases de datos gubernamentales fiables en línea que muestren la fecha de constitución. Si su municipio, estado o país mantiene registros exhaustivos, cumplirá este requisito sin necesidad de papeleo.

Sin embargo, si su empresa opera en un lugar con registros en línea limitados o tiene menos de tres años, utilice una de las cuatro formas alternativas de demostrar la existencia operativa de su empresa:

  1. Documentos oficiales de registro: Si su empresa lleva funcionando más de tres años, puede presentar varios documentos expedidos por la administración local, como los estatutos de constitución, una licencia de constitución o una declaración DBA.
  2. Dun & Bradstreet: Dun & Bradstreet es una empresa de confianza que proporciona informes de crédito. Independientemente de la antigüedad de su empresa, si dispone de un informe de crédito de Dun & Bradstreet, las autoridades competentes pueden utilizarlo para verificar su existencia operativa.
  3. Carta de confirmación bancaria: Una cuenta corriente activa en una institución financiera local es prueba suficiente de la existencia operativa, independientemente del tiempo que lleve funcionando su empresa. Puede obtener una carta del banco que verifique esta información y presentarla a la CA.
  4. Carta de opinión profesional (POL): Una carta notarial de un abogado o contable que afirme la legitimidad de su empresa, conocida como Carta de Opinión Profesional, puede utilizarse como prueba de la existencia operativa.

Utilizando cualquiera de estas opciones, puede satisfacer el requisito de existencia operativa y acercarse a la obtención de un certificado de firma de código con Extended Validation.

4. 4. Dirección física

La autoridad de certificación (CA) verifica la dirección postal, la ciudad, el estado y el país de su empresa mediante diversos métodos. En primer lugar, la autoridad de certificación comprueba en las bases de datos públicas en línea la dirección de su empresa que figura en la lista pública y la coteja con los datos de su certificado y formulario de inscripción. No se aceptan apartados de correos ni inscripciones en el extranjero. Sin embargo, si las bases de datos gubernamentales no incluyen la información requerida, existen los siguientes métodos alternativos de verificación:

  1. Documentos oficiales de registro: Puede presentar los documentos oficiales de registro emitidos por el gobierno local, como los estatutos de constitución, la licencia constituida o la declaración DBA.
  2. Dun & Bradstreet: Un informe de crédito de terceros como Dun & Bradstreet también es aceptable para verificar la dirección física de su empresa. Las CA consideran que los informes DUNS son muy fiables para investigar a las organizaciones.
  3. Carta de opinión legal (POL): Obtenga una Carta de Opinión Legal firmada, también conocida como Carta de Opinión Profesional, de un abogado o contable. Aunque la adquisición de un POL puede requerir más esfuerzo si no se cuenta con apoyo jurídico o contable interno, cumple todos los requisitos del proceso de firma de códigos con Extended Validation, excepto el formulario de inscripción.

Si falla la búsqueda en la base de datos gubernamental en línea de la CA, cualquier método alternativo puede demostrar la dirección física de su empresa y facilitar la emisión de su certificado de firma de código con Extended Validation.

5. Verificación telefónica

Su organización debe tener un número de teléfono activo en un directorio aceptable, que coincida con la información de su certificado y formulario de inscripción.

Inicialmente, la CA intenta verificar el número de teléfono utilizando bases de datos gubernamentales en línea y, si no lo consigue, puede utilizar dos métodos alternativos para verificar su número de teléfono:

  1. Dun & Bradstreet: Se acepta un informe de crédito de Dun & Bradstreet. Las CA consideran fiable la información recopilada por Dun & Bradstreet durante el proceso de investigación de validación ampliada. Los informes de crédito DUNS también sirven para verificar la dirección física y la existencia operativa.
  2. Carta de opinión legal (POL): Si el número de teléfono de su empresa no es público, puede utilizar una carta de opinión legal, también conocida como carta de opinión profesional (POL). Este documento, firmado por un abogado o contable, confirma la legitimidad de su empresa. Un POL cumple todos los requisitos excepto los formularios de inscripción.

Empleando estos métodos alternativos, puede completar el proceso de verificación telefónica para un certificado de firma de código con validación ampliada, incluso si las bases de datos gubernamentales en línea no contienen la información requerida.

6. Llamada de verificación final

Ahora sólo queda una breve conversación para verificar la información facilitada. Aunque la llamada de verificación no suele plantear problemas, pueden surgir algunas dificultades.

Por ejemplo, es posible que el número de teléfono verificado de su empresa no conecte directamente con su escritorio, ya que suele aparecer para consultas generales. No se preocupe; la AC puede localizarle fácilmente introduciendo su extensión o utilizando los sistemas de respuesta vocal interactiva (IVR).

Además, la AC puede pedir ayuda a la recepcionista u operadora telefónica de su empresa para transferir la llamada a su línea. La CA podría incluso ponerse en contacto con un colega para obtener sus datos de contacto e iniciar la llamada utilizando el número de teléfono verificado.

Hará todo lo posible por ponerse en contacto con usted, garantizando un proceso sin contratiempos. Todo lo que tienes que hacer es responder rápidamente a la llamada y evitar que salte el buzón de voz. Retrasar la llamada de verificación sólo prolongaría la emisión de su certificado de firma de código EV, y entendemos que eso no es algo que nadie desee.

Proporcione información precisa y acuda puntualmente a la llamada de verificación, y estará un paso más cerca de obtener su certificado de firma de código EV.

¿Cuál es el siguiente paso?

Una vez que haya completado todos los pasos del proceso de validación ampliada, la CA procesará su pedido y le enviará el dispositivo USB a la dirección de su empresa. Recibirás un correo electrónico de confirmación de envío cuando esté en camino.

Validación individual (IV)

La Validación Individual difiere de la Validación Organizativa en que verifica la identidad de un único promotor en lugar de una empresa. Para recibir un certificado de Code Singing como particular, deberá acreditar su identidad ante la Autoridad de Certificación. Puedes hacerlo de dos maneras:

Foto ID

Para esta opción, debe proporcionar dos documentos a la Autoridad de Certificación:

  1. Una copia de un documento de identidad con fotografía expedido por el gobierno, como el permiso de conducir, el pasaporte, el documento nacional de identidad o la cartilla militar. El documento de identidad debe mostrar su nombre y dirección, y sus datos deben coincidir con los de su solicitud de certificado.
  2. Una foto suya (un “selfie”) sosteniendo su documento de identidad con fotografía. Su cara y los datos del documento de identidad deben ser visibles para poder compararlos con la copia del documento.

Puedes abrir un ticket con el soporte de validación de Sectigo y enviar estos documentos. Seleccione “Apoyo a la validación” como tipo de caso y elija el motivo adecuado para el caso. Adjunte los expedientes necesarios y rellene el formulario. Recibirá una respuesta con un número de caso, al que podrá hacer referencia en cualquier comunicación futura.

Cara a cara

Si su documento de identidad con fotografía no incluye una dirección o si la dirección no coincide con su pedido, este método de validación es adecuado. Implica documentación adicional y requiere que acuda a un notario autorizado de su zona para firmar y legalizar los documentos. Son necesarios los siguientes documentos notariales:

  • Un documento de identidad con fotografía expedido por el gobierno, como el carné de conducir, el pasaporte o la cartilla militar.
  • Un documento financiero a su nombre, como una tarjeta de crédito o débito válida, un extracto de la hipoteca o un extracto bancario.
  • Un documento no financiero a su nombre con una dirección, como una factura de teléfono fijo (no una factura de teléfono móvil), una factura reciente de servicios públicos, una declaración de pago de alquiler, un certificado de nacimiento, una factura de impuestos o un documento de orden judicial.
  • El formulario de declaración personal. (acceda al enlace de descarga).

Una vez que haya preparado la documentación necesaria, envíe todos los formularios directamente al equipo de validación de la autoridad de certificación abriendo un ticket. Elija “Apoyo a la validación” como tipo de caso y seleccione el motivo adecuado para el caso. Adjunte los expedientes necesarios y rellene el formulario. Recibirá una respuesta con un número de expediente para futuras consultas.

Después de la validación, Una vez que haya enviado su documentación al equipo de validación de la autoridad de certificación, éste la revisará y se pondrá en contacto con usted por correo electrónico para mantener correspondencia. Una vez aprobado y emitido el certificado, recibirá un correo electrónico con la información de envío.

Conclusión

La obtención de certificados de firma de código Sectigo/Comodo implica un proceso de investigación exhaustivo para verificar la legitimidad y autenticidad de la organización o persona que lo solicita.

Para la validación de la organización, se requiere la autenticación de la identidad y la organización, la presencia en la localidad, la confirmación telefónica y una llamada de verificación final. La validación ampliada requiere formularios de inscripción, autenticación de la organización, existencia operativa, prueba de dirección física, verificación telefónica y una llamada final de confirmación.

La validación individual requiere una prueba de identidad mediante un documento de identidad con fotografía expedido por el gobierno y un selfie o un documento notarial. Una vez completados todos los pasos, la CA emitirá el certificado de firma de código.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Tutoriales