Tema: Conseguir un certificado digital para firmar código
Ver Mensaje Individual
  #110  
Antiguo 08-11-2017
Avatar de dec
dec dec is offline
Moderador
  
Registrado: dic 2004
Ubicación: Alcobendas, Madrid, España
Posts: 13.107
Reputación: 34
dec Tiene un aura espectaculardec Tiene un aura espectacular
Hola a todos,

Cita:
Empezado por Nasca Ver Mensaje
Estoy curioseando en los almacenes de autoridades certificadoras (CA) de varias versiones de Windows.

StartCom parece que caduca el 17/09/2036. Y está en Windows 7, 10 y XP como CA.
Por lo que parece que a pesar de que esté caducado el certificado con el que se firma, el programa en teoría se puede seguir firmando y Windows lo reconocerá como correcto.
De todas formas no tengo claro que la nota de StartCom sea aplicable a los certificados de firma de código. Se lo he preguntado, si responden aviso.

Parece que GoDaddy también está como CA: https://es.godaddy.com/web-security/...ng-certificate
Aunque sale algo caro hay que tener presente que no es para identificadores personales, es para identificadores de organizaciones:
https://es.godaddy.com/help/verifica...cado-ssl-12127

Para este caso creo que los de Starcom siguen siendo válidos y son bastante más baratos.
Pero, ¿qué pasa pues con el artículo que enlacé más arriba del blog de Microsoft?

Cita:
Microsoft has concluded that the Chinese Certificate Authorities (CAs) WoSign and StartCom have failed to maintain the standards required by our Trusted Root Program. Observed unacceptable security practices include back-dating SHA-1 certificates, mis-issuances of certificates, accidental certificate revocation, duplicate certificate serial numbers, and multiple CAB Forum Baseline Requirements (BR) violations.

Thus, Microsoft will begin the natural deprecation of WoSign and StartCom certificates by setting a “NotBefore” date of 26 September 2017. This means all existing certificates will continue to function until they self-expire. Windows 10 will not trust any new certificates from these CAs after September 2017.

Microsoft values the global Certificate Authority community and only makes these decisions after careful consideration as to what is best for the security of our users.
Yo, desde luego, sigo firmando con mi certificado actual (comprado hace casi 2 años en StartCom) y todo parece ir bien, pero, claro, estamos planteando la posible compra de otro certificado, o, de la renovación de uno caducado. No sé yo... no me queda claro el asunto. Recuerdo que tú iniciaste el tema de nuevo a partir de una nota de StartCom (si no me equivoco), pero, ¿y lo del artículo de Microsoft arriba citado?


Cita:
Empezado por Nasca Ver Mensaje
Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.
Bien visto eso.
__________________
David Esperalta
www.decsoftutils.com
Responder Con Cita