Bienvenido a
logo

logo

MacroSeguridad.org es un mayorista exclusivo de Soluciones de Seguridad Informática, líder en seguridad digital y proveedor de seguridad para comercio electrónico e internet. La compañía posee clientes en toda Latino América, México y Brasil, y cuenta con una experiencia de más de 10 años en el área de seguridad y de más de 20 años en el conocimiento y manejo de canales de distribución.

MacroSeguridad.org es el nexo entre las necesidades de seguridad de las empresas y sus soluciones.

¿Qué es un

Certificado de Firma de Código?

img

Hoy en día, una de las principales preocupaciones para los usuarios finales es no saber si el software que adquieren ha sido adulterado. Las empresas desarrolladoras de software enfrentan el desafío de proveer un mecanismo seguro y robusto que garantice a los clientes que sus aplicaciones están protegidas y no han sido modificadas de forma indebida.
Cuando un cliente compra software en un negocio físico, tiene la seguridad de saber quién lo desarrolló, quién ofrece soporte, y quién lo publicó. Además, puede verificar que el envase no ha sido manipulado. Estos factores son cruciales para que los clientes puedan tomar decisiones informadas sobre qué software adquirir y en qué productos confiar.

Utilizando un Certificado Digital de Firma de Código (Code Signing) de Macroseguridad.org, puede asegurar que los clientes que descargan su software (como controles ActiveX, applets Java, librerías dinámicas, archivos .cab o contenido HTML firmado) confíen en que el código proviene de su empresa y no ha sido alterado.

Aplicación

Los Certificados de firma de código pueden ser usados para crear páginas web utilizando controles ActiveX u otros ejecutables firmados, incluyendo objetos, macros (VBA), drivers, imágenes de firmware, actualizaciones de antivirus, archivos de configuración o cualquier otro tipo de contenido para que su distribución sea segura a través de Internet.
El certificado digital puede utilizarse para firmar código tantas veces como sea necesario durante el período de validez del mismo. Cuando el certificado digital caduca, todas las firmas digitales que dependen de ese certificado digital también caducan. Para evitar volver a firmar las aplicaciones cada vez que expira el certificado, se utiliza el servicio de estampa de tiempo (Time Stamping).

img

Compatibilidad de los certificados de firma de código


  • Microsoft Authenticode™ - Firme cualquier formato ejecutable de Microsoft (32 y 64 bits EXE, DLL, OCX o cualquier control Active X). Incluido Silverlight.
  • Adobe AIR™ - Firme cualquier aplicación Adobe AIR.
  • Java™ - Firme cualquier applet JAR.
  • Microsoft Office™ - Firme cualquier Macro en Microsoft Office o cualquier archivo VBA (Visual Basic for Applications).
  • Mozilla™ - Firme cualquier archivo Mozilla Object.
  • Apple™ - Firme software Apple Mac -soportado en MacOS9+.

Beneficios

  • Los certificados digitales permiten a las empresas (desarrolladoras de software, corporaciones, entidades de gobierno, etc.) firmar el software asegurando su procedencia, autenticidad e integridad .
  • Sectigo es una de las empresas más reconocidas del mercado, y los browsers más utilizados aceptarán su certificado directamente, o mostrarán una advertencia recomendando aceptar su aplicación.
  • Los Certificados de Code Signing son muy fáciles de usar en conjunción con las herramientas de software más utilizadas para crear productos,macros y objetos.

  • Code Signing protege a sus clientes asegurando que la integridad del software que descargaron de Internet o que desean instalar no ha sido alterado con algún código malicioso.
  • El uso de Code Signing, provee un envoltorio virtual para el software a fin de asegurar su transmisión por Internet, favoreciendo el reconocimiento y posicionamiento de su marca comercial.
  • La tecnología de Code Signing aumenta la aceptación y distribución del software a descargar, reduciendo los mensajes de error, las advertencias de seguridad y cumpliendo con los requisitos de los proveedores.

    • Requisitos

    Para certificados emitidos a partir del 1° de Junio 2023,los estándares de la industria requieren que las claves privadas de los certificados de firma de código sean generadas, almacenadas y utilizadas en hardware certificado FIPS 140 Nivel 2, Common Criteria EAL 4+ o equivalente.

    Adicionalmente ciertos requisitos deben cumplirse para validar un certificado de codesigning:

    • Debe verificarse la existencia legal de la organización o individuo nombrado en el campo Organización del certificado.
    • El correo electrónico al que se va a enviar el certificado de codesigning debe ser alguien@dominio.com, donde dominio.com es propiedad de la empresa u organización nombrada en el certificado.
    • Se debe realizar una llamada a un número de teléfono verificado de la organización o persona nombrada en el certificado para comprobar que la persona que realiza el pedido es un representante autorizado de la empresa.


    Existen dos modalidades para la emisión y guarda de un certificado de codesigning:
    • Disponibles como descarga para ser instalados en el propio HSM del cliente. Los dispositivos de hardware (por ejemplo, tokens, HSM, etc.) deben ser compatibles con FIPS y admitir la atestación de claves verificable externamente. El CSR (Certificate Signing Request) se genera dentro del dispositivo de seguridad, el cual viene precargado de fábrica con una llave privada y un certificado intermedio del fabricante. Esto permite generar un certificado de ATTESTATION cuyo propósito es verificar que la llave privada del certificado de codesigning efectivamente se haya generado dentro del dispositivo en cuestión, no pudiendo ser exportada por seguridad.

    • Certificado previamente instalado en un token USB que será enviado de forma segura directamente al usuario.
      Aplican las mismas normativas y requisitos de validación que con la emisión en un dispositivo propio del cliente.


    Para ambas opciones los certificados disponibles son: y

    El certificado OV (Organization Validation) valida la legitimidad de una empresa mediante la verificación del dominio y la revisión de documentos como el registro comercial y facturas de servicios.
    El certificado EV (Extended Validation) realiza la verificación de nivel OV y añade una revisión adicional a través de un proceso de verificación que debe completar la persona responsable de la organización.
    Macroseguridad.org brinda las soluciones para su certificado de CodeSigning.

    SOPORTE Y CONSULTAS