¿Ya has actualizado tus certificados de firma de código?
La tendencia a reducir la vigencia de los certificados ya no se limita aTLS . La recomendación del CA/B Forum de acortar la vigencia se está extendiendo a todos los tipos de certificados, y ahora le toca el turno a la firma de código.
El gran impulso del Foro CA/B hacia la reducción de la vigencia de los certificados
El Foro CA/Browser (CA/B) ha ido reduciendo progresivamente el período de validez de los certificados. Históricamente, la vigencia de los certificados ha ido disminuyendo progresivamente y esa tendencia no hace más que acelerarse.
En abril de 2025, el CA/B Forum aprobó una votación para reducir la validez máxima deTLS a solo 47 días para 2029, con el objetivo de mejorar la seguridad en línea, impulsar la automatización en la gestión de certificados y preparar los sistemas para los retos que plantea la computación cuántica.
El razonamiento es claro. Cuando la clave privada de un certificado se ve comprometida, el alcance del impacto depende directamente del tiempo que ese certificado siga siendo válido. Con certificados de 47 días, ese periodo de exposición se reduce drásticamente.
Certificados de firma de código: un reto concreto y urgente
A partir del 1 de marzo de 2026, los certificados de firma de código de confianza pública tendrán una validez máxima de 460 días (aproximadamente 15 meses), frente a los 39 meses máximos anteriores.
Puede que parezca mucho tiempo, pero para muchos equipos de desarrollo el impacto es inmediato y significativo. Lo que antes era un flujo de trabajo plurianual del tipo «configúralo y olvídalo» es ahora una obligación anual que hay que gestionar de forma deliberada.
Los problemas se acumulan rápidamente: los desarrolladores suelen almacenar las claves de firma en lugares poco seguros —en estaciones de trabajo, servidores de compilación o hardware que pueden perderse—. Los procesos de aprobación son inconsistentes. A menudo no se tiene visibilidad sobre qué certificados existen en la organización, cuándo caducan y quién es su titular. Y, a medida que se acortan los ciclos de renovación, estas deficiencias se vuelven cada vez más peligrosas.
También existe una preocupación relacionada con el proceso de compilación. Que un certificado de firma caduque a mitad del ciclo de lanzamiento no es solo un inconveniente: puede paralizar por completo software , retrasar la publicación de parches y minar la confianza de los usuarios finales, cuyos sistemas operativos detectan software sin firmar o mal firmado.
Y esto es solo la primera reducción. Si nos basamos en TLS , los certificados de firma de código se enfrentarán a nuevas restricciones en los próximos años.
Qué deben hacer ahora las organizaciones
La reducción del periodo de validez genera una sensación de urgencia ideal para que las organizaciones refuercen sus procesos de firma de código. Aunque ya haya renovado sus certificados, a continuación le ofrecemos algunos pasos prácticos para aumentar aún más su seguridad y eficiencia.
Empieza por hacer un inventario. No se puede gestionar lo que no se ve. Audita todos los certificados de firma de código en todos los productos, procesos y entornos. Necesitas saber quién los ha emitido, cuándo caducan y dónde se encuentra la clave privada. Esta visibilidad básica es la base de la seguridad de todos los certificados de tu organización.
Traslade las claves al hardware. Las claves de firma privadas nunca deben residir en sistemas de archivos ni en estaciones de trabajo de desarrolladores. Almacenarlas en un módulo hardware (HSM), ya sea local o en la nube, es tanto una práctica recomendada de seguridad como, cada vez más, un requisito de cumplimiento normativo.
Automatice sus procesos de firma. La renovación manual de certificados es propensa a errores, ineficiente y no es escalable. Al automatizar la renovación de certificados, no solo puede eliminar el riesgo de que una renovación olvidada detenga un lanzamiento, sino también ahorrar sus recursos más valiosos: tiempo y dinero.
Prepárese para futuras reducciones. La vigenciaTLS se ha reducido de cinco años a un año y, posteriormente, a 200 días, y hay previstas más reducciones. Los certificados de firma de código siguen ahora el mismo camino.
Ahora es el momento de poner en marcha procesos nuevos y más resilientes.
Garantizar la firma de código a gran escala
Este cambio es precisamente el tipo de reto para el que Keyfactor diseñado.
Keyfactor Signum centraliza la gestión de los certificados de firma de código, las políticas y los permisos en un único panel de control, y simplifica las auditorías con un registro completo de eventos de uso y acceso a las claves privadas de firma de código. Las claves privadas se generan y almacenan en un HSM con certificación FIPS 140-2, por lo que nunca salen del enclave seguro. Al mismo tiempo, los desarrolladores conservan la capacidad de firmar código desde cualquier lugar en el que trabajen, utilizando herramientas nativas con las que ya están familiarizados.
Los controles de acceso granulares regulan quién puede firmar, qué dispositivos y herramientas están autorizados, y en qué intervalos de tiempo. Esto facilita la aplicación de las políticas de seguridad sin crear cuellos de botella en el proceso de desarrollo, todo ello con un registro de auditoría completo.
Cuando el CA/B Forum vuelva a reducir los periodos de validez (y lo hará), las organizaciones que utilicen Keyfactor tendrán que apresurarse a adaptarse.
