Protege las claves privadas
Mejores prácticas de firma de código: Genere y almacene claves privadas de manera segura
DigiCert recomienda a los desarrolladores tomar precauciones al implementar su proceso de firma de código y asegurar las claves privadas asociadas con sus certificados de firma.
Recomendaciones
Limite el acceso a las llaves
Mantener los controles de acceso y la contabilidad de las claves de firma de código y limitar su distribución. Esto ayudará a hacer cumplir la responsabilidad estricta para el uso clave.
Asegure físicamente el dispositivo de almacenamiento de llaves en un recipiente bloqueado
- Asegúrese de que los dispositivos de almacenamiento clave no se dejen en los escritorios, en los cajones desbloqueados o donde se puedan tomar o copiar fácilmente.
- Mantenga el dispositivo almacenando la llave privada en un cajón de escritorio cerrado, gabinete o detrás de puertas cerradas.
Use una contraseña segura para la clave privada
Elija una contraseña segura para la clave privada. Requerimos tener al menos dieciséis (16) caracteres que se generan aleatoriamente que contienen letras mayúsculas, minúsculas, números y símbolos para transportar claves privadas. Palabras en un diccionario, derivados de ID de usuario, secuencias de caracteres comunes (por ejemplo, “123456”), nombres propios, ubicaciones geográficas, acrónimos comunes, jerga, nombres de miembros de la familia, cumpleaños, etc. no deben ser utilizados.
Almacenamiento seguro para la clave privada
Almacene de forma segura una clave privada utilizando un dispositivo criptográfico certificado FIPS 140-2 Level 2 o Common Criteria EAL4+. La exportación de la clave privada no está permitida por estos dispositivos criptográficos. La mayoría de estos dispositivos incluyen autenticación multifactor.
Certificado de Firma de Prueba vs Certificado de Firma de Liberación
Microsoft recomienda usar un certificado de firma de prueba separado para firmar el código de prelanzamiento. El certificado de firma de prueba solo debe confiarse en el entorno de prueba. Los certificados de firma de pruebas pueden ser certificados autofirmados o provenir de una prueba CA interna.