Acabo de descargar curl para Win64, la versión mingw build 8.5.0_4 de
https://curl.se/windows/. Se ha generado el 6/12/2023, con un certificado de firma con validez 17/1/21-17/1/24 (o siga caduca dentro de dos semanas) que depende de un certificado raíz de validez 2021-2026,
sin marca de tiempo (para hacer programas reproducibles, es decir independiente de la hora de generación,
ver último punto de esta lista).
No veo problemas en el horizonte 2028, pero sí veo problemas...
Problema 1º, depende de un certificado raíz que no está registrado en la mayoría de los ordenadores; solución: a la instalación hay que registrar este certificado raíz en los ordenadores del cliente (y ser consciente de las implicaciones a nivel de seguridad)
Problema 2º, ¿qué pasará cuando caducan los certificados? A no tener marca de tiempo, Windows se quejará del problema de seguridad (posiblemente sin dar posibilidad de forzar la ejecución, p.e. en Win11)
solución: actualizar siempre cURL a la última versión...
También tengo otra versión 7.5 más antigua (2016) que no vienen directamente de curl.se pero de web.de (tiene opciones que me sirven para determindo proyecto). Esta está firmada con un certificado de validez 14/9/2016-14/9/2017, es decir caducado desde hace mucho tiempo; pero esta versión ¡tiene marca de tiempo! Por tanto allí no hay quejas, la firma de código sigue válida (si la raíz está autorizada) y no veo
Visto la fecha de caducidad del certificado de "curl-for-win Code Signing Authority", creo que vamos a oír hablar de este tema próximamente.
Sin embargo, posiblemente se puede usar el curl.exe del sistema si estas en una versión normal de Windows 10 o 11: este está generada y firmada por Microsoft, y no habrá problemas en 2028 o en ningún otro momento
pero no hay la opción de usar libcurl.dll