Foros Club Delphi

Foros Club Delphi (https://www.clubdelphi.com/foros/index.php)
-   La Taberna (https://www.clubdelphi.com/foros/forumdisplay.php?f=40)
-   -   Algunas consideraciones sobre los certificados de firma de código (https://www.clubdelphi.com/foros/showthread.php?t=92587)

dec 04-12-2017 14:43:36

Algunas consideraciones sobre los certificados de firma de código
 
Hola a todos,

Inicio este hilo con la intención de que debatamos de algunas cuestiones sobre los certificados de firma de código. Aviso de antemano que este mensaje puede ser demasiado largo. A ver si puedo aclararme con lo que quiero decir y podéis aclarar vosotros las posibles dudas.
  1. Creo que fue por Windows 7 cuando se introdujo la necesidad de firmar nuestros programas. De no hacerlo, una advertencia aparecía al usuario cuando lo ejecutaba, desanimándolo a hacerlo, si el ejecutable en cuestión no estaba firmado con un certificado válido para Microsoft.
  2. Estas advertencias al usuario cuando descarga y ejecuta programas no firmados se han ido incrementado con el tiempo, y, haciéndose más agresivas, hasta el punto de que, en Windows 10, directamente, el usuario ha de pasar por al menos dos pantallas "rojas" antes de dejarle ejecutar un programa sin firma digital. De hecho, si el usuario "Acepta" la primera pantalla (algo tal vez muy común...) Windows no ejecutará el programa, es decir, la opción "por defecto" es la de no ejecutar un programa sin firma digital.
  3. Hasta lo dicho no debería haber problema alguno. Al fin y al cabo uno es programador, o quiere seguir creyendo que lo es, y, puesto que sus productos son sus programas, no tiene sino firmar digitalmente dichos programas y aquí paz y después gloria, ¿verdad? Bueno, pues no es exactamente así.
  4. Conseguir un certificado no es "barato" hoy día, pero, es que además todo apunta a que será imposible en el futuro, al menos para individuos, es decir, que no tegan una empresa registrada a su nombre, sino que sean individuos o autónomos, simplemente. Aquí ya no estamos hablando de dinero.
  5. Incluso asumiendo pagar un buen pico para obtener un certificado (hablamos de una horquilla de entre 200 y 800 euros anuales), resulta que las empresas certificadoras que antes lo hacían, han dejado de ofrecer certificados a individuos, pasando a ofrecerlos solamente a empresas.

¿Qué opináis vosotros de todo este asunto? ¿Cómo lo véis? ¿Firmáis vuestros ejecutables? ¿No os afecta esto en absoluto?

Personalmente, ahora mismo tengo un problema: la certificadora a la que adquirí el certificado que vengo usando desde hace un par de años, ha dejado de ser aceptada por Microsoft. El resto de certificadoras (¡no parece haber demasiadas!) son excesivamente caras, para mi presupuesto, o bien ya no ofrecen certificados a individuos. ¿Tengo que resignarme, pues, a aparecer ante mis actuales y posibles futuros clientes como un "editor desconocido"?

:( :( :(

dec 04-12-2017 14:57:36

Hola a todos,

Aquí un artículo que debe haber escrito mi otro yo estadounidense:

https://successfulsoftware.net/2008/...ficate-ripoff/

Está en inglés, pero, creo expresa muchas de las ideas que he tenido hoy.

WHILENOTEOF 04-12-2017 16:05:07

Imagino que no serán el mismo tipo de certificados, pero yo estaba indagando sobre los que hacen falta para poner una web segura, y me alegró ver en un vídeo del último Coderage que hay una alternativa gratuita open source para hacerlos, y que por lo visto dan por buena la mayoría de navegadores. En mi caso yo hago la instalación inicial en el cliente, y a partir de ahí las actualizaciones se ejecutan sin mayores problemas. Si que me ha pasado hace poco que un tipo al que le envíe un zip con el ejecutable me decía que Windows lo daba como virus, imaginé que se trataba del mensaje de que el software es desconocido que muestra Windows. Simplemente le dije que si no confiaba en mí que lo dejara.

dec 04-12-2017 16:14:18

Hola a todos,

Cita:

Empezado por WHILENOTEOF (Mensaje 523089)
Imagino que no serán el mismo tipo de certificados, pero yo estaba indagando sobre los que hacen falta para poner una web segura, y me alegró ver en un vídeo del último Coderage que hay una alternativa gratuita open source para hacerlos, y que por lo visto dan por buena la mayoría de navegadores. En mi caso yo hago la instalación inicial en el cliente, y a partir de ahí las actualizaciones se ejecutan sin mayores problemas. Si que me ha pasado hace poco que un tipo al que le envíe un zip con el ejecutable me decía que Windows lo daba como virus, imaginé que se trataba del mensaje de que el software es desconocido que muestra Windows. Simplemente le dije que si no confiaba en mí que lo dejara.

Son cosas distintas. No soy un experto en ninguna, pero, una cosa es un certificado "para los navegadores", y, otra, un certificado para la firma de código. Los primeros se están ofreciendo gratis, incluso: mi servicio de "hosting" lo ofrece gratis, mejor dicho, lo incluye en el pago del "hosting".

Pero los certificados para la firma de código (que es lo que implica que dijeses a tu cliente que si no confiaba, que lo dejase) no sólo no son gratuitos, sino que pareciera que ya no son posibles de obtener por personas particulares, por autónomos, sino que ha de tratarse de una empresa.

Si esto es así, y, parece que lo es, personalmente, estoy en un problema. Yo no puedo decirle a mis clientes "que confíen en mí"... esto no puede ser, simplemente. Pero, por otro lado, constituir una empresa en España no es baladí, no es algo ni barato (creo que un mínimo de 3000 euros son necesarios) ni aconsejable, en un momento dado.

De modo que, sinceramente, ahora mismo estoy perdido: como digo ya no es cuestión de pagar más o menos por el certificado de marras, que, ya estaría bien... pero es que además no parece posible obtenerlos sin ser una empresa. Y esto es algo que no me cuadra, de ninguna forma.

¿Estamos obligados los autónomos a convertirnos en empresas para obtener un certificado de estos? Si esto es así, es lo más estúpido con lo que me he topado últimamente...

No sólo eso, sino que, quiero insistir, yo estoy en un problema muy serio ahora mismo: y me gustaría saber qué hacen los compañeros ante esto... o si es que no les importa en absoluto.

Pero es que esto último no parece ser una opción: como he explicado en mi primer mensaje, un ejecutable no firmado hace desconfiar al usuario sí o sí. No me parece una opción, simplemente, pasar del certificado y distribuir los programas sin firmar. No tal como Windows trata a los ejecutables sin firmar, que, parece que son "malware" directamente... :(

WHILENOTEOF 04-12-2017 16:25:56

Ya me imaginaba que no sería lo mismo. ¿podrías decir cuanto cuesta un certificado de esos? ¿algún ejemplo o link de empresa que los ofrezca?. No sé si una opción puede ser descargar aplicaciones en equipos con Windows 10 vía store, ahí creo que es más barato acceder como desarrollador e imagino que no dará problemas en la instalación si has pasado el filtro para publicarla.

dec 04-12-2017 16:41:17

Hola a todos,

Cita:

Empezado por WHILENOTEOF (Mensaje 523091)
Ya me imaginaba que no sería lo mismo. ¿podrías decir cuanto cuesta un certificado de esos? ¿algún ejemplo o link de empresa que los ofrezca?. No sé si una opción puede ser descargar aplicaciones en equipos con Windows 10 vía store, ahí creo que es más barato acceder como desarrollador e imagino que no dará problemas en la instalación si has pasado el filtro para publicarla.

Los precios varían una barbaridad, puesto que van de una horquilla de 200 euros hasta 800 euros anuales. Las empresas que los ofrecen son Comodo, Thawte, Digicert y algunas otras. Pero, quiero insistir en lo dicho: ya no es cuestión de precio, es también cuestión de requisitos: parece que al menos algunas de estas empresas ya no ofrecen certificados a individuos, sólo a empresas.

Respecto de lo que dices de Windows 10 puede ser un buen punto, pero, eso dejería fuera automáticamente a clientes con Windows 7 y Windows 8. Supuesto el caso de que en esta tienda acepten ejecutables así sin más... y, por otro lado, ¿no sería esto obligarnos a publicar en dicha tienda de Windows? ¿Qué pasa si yo quiero seguir como hasta ahora, publicando mis programas en mi propio sitio web?

:( :( :(

dec 04-12-2017 17:31:45

Hola a todos,

Lo comento por aquí, porque, es reciente, y, porque, no es el primer artículo que leo del mismo cariz:

https://www.adlice.com/what-is-code-signing/

Cita:

Code Signing Policy changes in Windows 10 Anniversary Edition (1607) and the implication on Adlice Tools. With the release of Windows 10 version 1607, Microsoft now requires kernel-mode drivers to be signed using EV certificates.

As we saw above, EV certificates are more secure because they need higher levels of requirement to be obtained and because the probability to be stolen is virtually null since they are tied to hardware devices (HSM). However, their high cost is an impediment to independent developers and small companies. We, at Adlice Software, are in this case.

....

Conclusion

Code signing is an invaluable approach to better protect users from malicious contents, to authenticate the publisher of an executable and to protect a file from unwanted modifications.

For the time being, a digital signature in a file does not mean it’s safe. In the future, if EV certificates become cheaper and more straightforward to obtain, we can make the assumption it could become true.

Y la gente no se queja (nos quejamos) sólo del precio, sino, de los requisitos que piden para obtener el certificado de marras. Nótese que este chico en concreto está hablando de un certificado para firmar "drivers", pero, antes de que nadie vaya a comentar sobre esto, ocurre igual para certificados de firma de código "normales". Siguen siendo caros y difíciles de conseguir.

En fin, esto pinta muy mal, desafortunadamente.

jhonny 05-12-2017 17:48:32

De momento no me ha afectado en mayor medida, sin embargo a futuro es preocupante esta situación, por otro lado uno quisiera firmar su software pero con semejantes precios y requisitos... pues será poner en el manual de usuarios que hagan click en aceptar a todos los letreros rojos que les salgan.

dec 05-12-2017 18:10:41

Hola a todos,

Cita:

Empezado por jhonny (Mensaje 523137)
De momento no me ha afectado en mayor medida, sin embargo a futuro es preocupante esta situación, por otro lado uno quisiera firmar su software pero con semejantes precios y requisitos... pues será poner en el manual de usuarios que hagan click en aceptar a todos los letreros rojos que les salgan.

Así lo veo yo también Jhonny: aunque al final yo obtuviese un número "DUNS", cosa que puede llevar unos 30 días, y, veremos si es realmente gratuito o qué... lo cierto es que, para obtener un número "DUNS", hace falta estar dado de alta como autónomo. Es decir, ya no sólo es una cuestión de dinero, que también, sino que, ahora mismo, un chaval aficionado a crear programas con Delphi, pongamos por caso, no puede firmar sus programas si no está dado de alta como autónomo, etc.

O sea, incluso cuando yo pudiese conseguir el certificado (que está por ver), no me gusta nada cómo está montado todo este asunto. Y, por otro lado, lo de indicar a posibles clientes "que acepten los mensajes de advertencia", ya hay gente que está haciendo esto (por lo difícil de obtener un certificado y por su precio), pero, es que esto cada vez está peor... en Windows 7 era una advertencia, en Windows 10 son dos pantallas "rojas" por las que el usuario ha de pasar. De hecho, para ejecutar un programa no firmado, se precisan al menos cinco "clics" en lugar de los dos "habituales".

En fin, que es lo que trato de decir, que, parece que la gente que no está dada de alta en autónomos, la gente que hace programas por gusto, por ejemplo, o que, está intentando salir adelante (y no puede darse de alta en autónomos por el gasto que conlleva), esta gente, digo, puede que no tenga opción a conseguir un certificado con el que firmar sus propios programas... incluso en el caso de estar dispuesto a pagar lo que valen, simplemente, no cumplirá los requisitos impuestos... :( :(


La franja horaria es GMT +2. Ahora son las 01:08:45.

Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi