Confianza digital para:
TI empresarial, PKI e identidad
Código y software
Documentos y firma
IoT y dispositivos conectados
Certificados de correo electrónico S/MIME
Certificados de marca verificada
Certificados de firma de documentos
Explore estas páginas para descubrir cómo DigiCert ayuda a las organizaciones a establecer, gestionar y ampliar la confianza digital para resolver problemas del mundo real.
Vea lo que nuestro estudio global post-cuántica descubrió acerca de dónde se encuentra el mundo en la carrera para prepararse para la computación cuántica.
Confianza y certificados públicos
¿Cuáles son los métodos de validación de los certificados TLS/SSL?
¿Qué es un sello (o distintivo) de confianza de un sitio web?
¿Cuál es la diferencia entre los certificados de cliente y los de servidor?
¿Son compatibles con mi navegador los certificados TLS/SSL de DigiCert?
¿Qué es la garantía de 30 días con derecho a devolución de DigiCert?
¿Qué tipo de certificados SSL utilizan las instituciones educativas?
Sistemas de nombres de dominio
La firma de código es el proceso de aplicar una firma digital a un archivo (sea o no binario) de software. Esta firma digital valida la identidad del autor o editor del software y verifica que el archivo no ha sido alterado ni manipulado desde que se firmó. La firma de código es un indicador para el destinatario del software de que el código es de confianza, y desempeña un papel fundamental en la lucha contra los intentos de atacar los sistemas o datos.
Los casos de uso de la firma de código incluyen: software para uso interno o externo, revisiones o correcciones, pruebas, desarrollo de productos de dispositivos IoT, entornos informáticos y aplicaciones móviles. Además del código y el software, la firma de código se aplica también a aplicaciones, firmware, archivos, mensajes, XML, scripts, contenedores e imágenes.
Al igual que sucede con otras tecnologías PKI, en la firma de código intervienen un par de claves pública-privada, una autoridad de certificación y un certificado digital. Cuando un editor firma software, crea un paquete delimitado que incluye el software del editor, un certificado de firma de código y una firma digital. El certificado de firma de código contiene la identidad y la clave pública del editor, así como la firma de la CA que confirma que esta ha verificado la identidad. La firma digital es el hash firmado del software con la clave privada del editor. Cuando se distribuye el software, el agente de usuario comprueba la validez e integridad del certificado (para determinar si el software se ha alterado desde que se firmó). Utiliza la clave pública del certificado para revelar el hash de la firma digital. A continuación, compara el hash de la firma digital con el hash del software calculado recientemente. Si los hashes coinciden, el cliente o usuario tiene la seguridad de que el software no ha sido manipulado. La gestión de claves privadas es un elemento de seguridad esencial en la firma de código. Si la clave se gestiona mal o alguien la roba, los ciberdelincuentes pueden utilizarla para firmar código malicioso y distribuirlo como si fuera una actualización para los sistemas de los desarrolladores o clientes.
Las principales plataformas de software, como Java y Microsoft, exigen la firma de código para evitar la propagación de malware. También es una buena práctica de seguridad firmar el código para que los clientes o usuarios no descarguen código manipulado o de fuentes desconocidas. La firma de código sirve para distinguir el código o el software de su empresa del código que puede haberse empaquetado para simular que procede de su organización. Además, cuando se publica software sin firmar, los usuarios pueden encontrarse con etiquetas de advertencia de seguridad. Cuando el código se crea y desarrolla para su uso interno, la firma de código facilita el control y permite saber quién es el responsable de cada tarea.
Se puede firmar cualquier tipo de archivo (sea o no binario), por ejemplo:
• Aplicaciones de software que se pueden descargar de sitios web
• Aplicaciones informáticas internas
• Aplicaciones móviles
• Archivos XML
• Scripts
• Imágenes de software
• Contenedores
• Controladores y utilidades
• Firmware
En primer lugar, el editor de software genera un par de claves pública-privada. A continuación, obtiene un certificado de firma de código enviando una solicitud de firma de certificado (CSR) junto con su clave pública a una autoridad de certificación (CA). La CA verifica la identidad del editor y autentica la solicitud del certificado. Si todo está en orden, la CA emite el certificado de firma de código. El certificado incluye la identidad del editor, la clave pública y la firma de la CA. La firma de la CA es importante, ya que atestigua que la identidad del portador del certificado ha sido verificada por una empresa externa de confianza. El certificado de firma de código confirma no solo la identidad del editor, sino también la integridad del software. Cuando el editor firma software, crea un paquete delimitado que incluye el software, el certificado de firma de código y una firma digital.
La firma digital también requiere:
La firma de código se puede realizar manualmente o de forma automatizada como parte del ciclo de desarrollo de software, como por ejemplo un proceso de integración y distribución continuas (CI/CD).
© 2024 DigiCert, Inc. Todos los derechos reservados.
Archivo jurídico Auditorías WebTrust Condiciones de uso Política de privacidad Accesibilidad Configuración de las cookies