Club Delphi  
    FTP   CCD     Buscar   Trucos   Trabajo   Foros

Retroceder   Foros Club Delphi > Otros temas > La Taberna
Registrarse FAQ Miembros Calendario Guía de estilo Temas de Hoy

Respuesta
 
Herramientas Buscar en Tema Desplegado
  #1  
Antiguo 04-12-2017
Avatar de dec
dec dec is offline
Moderador
 
Registrado: dic 2004
Ubicación: Alcobendas, Madrid, España
Posts: 13.119
Poder: 34
dec Tiene un aura espectaculardec Tiene un aura espectacular
Algunas consideraciones sobre los certificados de firma de código

Hola a todos,

Inicio este hilo con la intención de que debatamos de algunas cuestiones sobre los certificados de firma de código. Aviso de antemano que este mensaje puede ser demasiado largo. A ver si puedo aclararme con lo que quiero decir y podéis aclarar vosotros las posibles dudas.
  1. Creo que fue por Windows 7 cuando se introdujo la necesidad de firmar nuestros programas. De no hacerlo, una advertencia aparecía al usuario cuando lo ejecutaba, desanimándolo a hacerlo, si el ejecutable en cuestión no estaba firmado con un certificado válido para Microsoft.
  2. Estas advertencias al usuario cuando descarga y ejecuta programas no firmados se han ido incrementado con el tiempo, y, haciéndose más agresivas, hasta el punto de que, en Windows 10, directamente, el usuario ha de pasar por al menos dos pantallas "rojas" antes de dejarle ejecutar un programa sin firma digital. De hecho, si el usuario "Acepta" la primera pantalla (algo tal vez muy común...) Windows no ejecutará el programa, es decir, la opción "por defecto" es la de no ejecutar un programa sin firma digital.
  3. Hasta lo dicho no debería haber problema alguno. Al fin y al cabo uno es programador, o quiere seguir creyendo que lo es, y, puesto que sus productos son sus programas, no tiene sino firmar digitalmente dichos programas y aquí paz y después gloria, ¿verdad? Bueno, pues no es exactamente así.
  4. Conseguir un certificado no es "barato" hoy día, pero, es que además todo apunta a que será imposible en el futuro, al menos para individuos, es decir, que no tegan una empresa registrada a su nombre, sino que sean individuos o autónomos, simplemente. Aquí ya no estamos hablando de dinero.
  5. Incluso asumiendo pagar un buen pico para obtener un certificado (hablamos de una horquilla de entre 200 y 800 euros anuales), resulta que las empresas certificadoras que antes lo hacían, han dejado de ofrecer certificados a individuos, pasando a ofrecerlos solamente a empresas.

¿Qué opináis vosotros de todo este asunto? ¿Cómo lo véis? ¿Firmáis vuestros ejecutables? ¿No os afecta esto en absoluto?

Personalmente, ahora mismo tengo un problema: la certificadora a la que adquirí el certificado que vengo usando desde hace un par de años, ha dejado de ser aceptada por Microsoft. El resto de certificadoras (¡no parece haber demasiadas!) son excesivamente caras, para mi presupuesto, o bien ya no ofrecen certificados a individuos. ¿Tengo que resignarme, pues, a aparecer ante mis actuales y posibles futuros clientes como un "editor desconocido"?

__________________
David Esperalta
www.decsoftutils.com
Responder Con Cita
  #2  
Antiguo 04-12-2017
Avatar de dec
dec dec is offline
Moderador
 
Registrado: dic 2004
Ubicación: Alcobendas, Madrid, España
Posts: 13.119
Poder: 34
dec Tiene un aura espectaculardec Tiene un aura espectacular
Hola a todos,

Aquí un artículo que debe haber escrito mi otro yo estadounidense:

https://successfulsoftware.net/2008/...ficate-ripoff/

Está en inglés, pero, creo expresa muchas de las ideas que he tenido hoy.
__________________
David Esperalta
www.decsoftutils.com
Responder Con Cita
  #3  
Antiguo 04-12-2017
WHILENOTEOF WHILENOTEOF is offline
Miembro
 
Registrado: mar 2008
Posts: 232
Poder: 17
WHILENOTEOF Va camino a la fama
Imagino que no serán el mismo tipo de certificados, pero yo estaba indagando sobre los que hacen falta para poner una web segura, y me alegró ver en un vídeo del último Coderage que hay una alternativa gratuita open source para hacerlos, y que por lo visto dan por buena la mayoría de navegadores. En mi caso yo hago la instalación inicial en el cliente, y a partir de ahí las actualizaciones se ejecutan sin mayores problemas. Si que me ha pasado hace poco que un tipo al que le envíe un zip con el ejecutable me decía que Windows lo daba como virus, imaginé que se trataba del mensaje de que el software es desconocido que muestra Windows. Simplemente le dije que si no confiaba en mí que lo dejara.
Responder Con Cita
  #4  
Antiguo 04-12-2017
Avatar de dec
dec dec is offline
Moderador
 
Registrado: dic 2004
Ubicación: Alcobendas, Madrid, España
Posts: 13.119
Poder: 34
dec Tiene un aura espectaculardec Tiene un aura espectacular
Hola a todos,

Cita:
Empezado por WHILENOTEOF Ver Mensaje
Imagino que no serán el mismo tipo de certificados, pero yo estaba indagando sobre los que hacen falta para poner una web segura, y me alegró ver en un vídeo del último Coderage que hay una alternativa gratuita open source para hacerlos, y que por lo visto dan por buena la mayoría de navegadores. En mi caso yo hago la instalación inicial en el cliente, y a partir de ahí las actualizaciones se ejecutan sin mayores problemas. Si que me ha pasado hace poco que un tipo al que le envíe un zip con el ejecutable me decía que Windows lo daba como virus, imaginé que se trataba del mensaje de que el software es desconocido que muestra Windows. Simplemente le dije que si no confiaba en mí que lo dejara.
Son cosas distintas. No soy un experto en ninguna, pero, una cosa es un certificado "para los navegadores", y, otra, un certificado para la firma de código. Los primeros se están ofreciendo gratis, incluso: mi servicio de "hosting" lo ofrece gratis, mejor dicho, lo incluye en el pago del "hosting".

Pero los certificados para la firma de código (que es lo que implica que dijeses a tu cliente que si no confiaba, que lo dejase) no sólo no son gratuitos, sino que pareciera que ya no son posibles de obtener por personas particulares, por autónomos, sino que ha de tratarse de una empresa.

Si esto es así, y, parece que lo es, personalmente, estoy en un problema. Yo no puedo decirle a mis clientes "que confíen en mí"... esto no puede ser, simplemente. Pero, por otro lado, constituir una empresa en España no es baladí, no es algo ni barato (creo que un mínimo de 3000 euros son necesarios) ni aconsejable, en un momento dado.

De modo que, sinceramente, ahora mismo estoy perdido: como digo ya no es cuestión de pagar más o menos por el certificado de marras, que, ya estaría bien... pero es que además no parece posible obtenerlos sin ser una empresa. Y esto es algo que no me cuadra, de ninguna forma.

¿Estamos obligados los autónomos a convertirnos en empresas para obtener un certificado de estos? Si esto es así, es lo más estúpido con lo que me he topado últimamente...

No sólo eso, sino que, quiero insistir, yo estoy en un problema muy serio ahora mismo: y me gustaría saber qué hacen los compañeros ante esto... o si es que no les importa en absoluto.

Pero es que esto último no parece ser una opción: como he explicado en mi primer mensaje, un ejecutable no firmado hace desconfiar al usuario sí o sí. No me parece una opción, simplemente, pasar del certificado y distribuir los programas sin firmar. No tal como Windows trata a los ejecutables sin firmar, que, parece que son "malware" directamente...
__________________
David Esperalta
www.decsoftutils.com

Última edición por dec fecha: 04-12-2017 a las 18:30:34.
Responder Con Cita
  #5  
Antiguo 04-12-2017
WHILENOTEOF WHILENOTEOF is offline
Miembro
 
Registrado: mar 2008
Posts: 232
Poder: 17
WHILENOTEOF Va camino a la fama
Ya me imaginaba que no sería lo mismo. ¿podrías decir cuanto cuesta un certificado de esos? ¿algún ejemplo o link de empresa que los ofrezca?. No sé si una opción puede ser descargar aplicaciones en equipos con Windows 10 vía store, ahí creo que es más barato acceder como desarrollador e imagino que no dará problemas en la instalación si has pasado el filtro para publicarla.
Responder Con Cita
  #6  
Antiguo 04-12-2017
Avatar de dec
dec dec is offline
Moderador
 
Registrado: dic 2004
Ubicación: Alcobendas, Madrid, España
Posts: 13.119
Poder: 34
dec Tiene un aura espectaculardec Tiene un aura espectacular
Hola a todos,

Cita:
Empezado por WHILENOTEOF Ver Mensaje
Ya me imaginaba que no sería lo mismo. ¿podrías decir cuanto cuesta un certificado de esos? ¿algún ejemplo o link de empresa que los ofrezca?. No sé si una opción puede ser descargar aplicaciones en equipos con Windows 10 vía store, ahí creo que es más barato acceder como desarrollador e imagino que no dará problemas en la instalación si has pasado el filtro para publicarla.
Los precios varían una barbaridad, puesto que van de una horquilla de 200 euros hasta 800 euros anuales. Las empresas que los ofrecen son Comodo, Thawte, Digicert y algunas otras. Pero, quiero insistir en lo dicho: ya no es cuestión de precio, es también cuestión de requisitos: parece que al menos algunas de estas empresas ya no ofrecen certificados a individuos, sólo a empresas.

Respecto de lo que dices de Windows 10 puede ser un buen punto, pero, eso dejería fuera automáticamente a clientes con Windows 7 y Windows 8. Supuesto el caso de que en esta tienda acepten ejecutables así sin más... y, por otro lado, ¿no sería esto obligarnos a publicar en dicha tienda de Windows? ¿Qué pasa si yo quiero seguir como hasta ahora, publicando mis programas en mi propio sitio web?

__________________
David Esperalta
www.decsoftutils.com
Responder Con Cita
  #7  
Antiguo 04-12-2017
Avatar de dec
dec dec is offline
Moderador
 
Registrado: dic 2004
Ubicación: Alcobendas, Madrid, España
Posts: 13.119
Poder: 34
dec Tiene un aura espectaculardec Tiene un aura espectacular
Hola a todos,

Lo comento por aquí, porque, es reciente, y, porque, no es el primer artículo que leo del mismo cariz:

https://www.adlice.com/what-is-code-signing/

Cita:
Code Signing Policy changes in Windows 10 Anniversary Edition (1607) and the implication on Adlice Tools. With the release of Windows 10 version 1607, Microsoft now requires kernel-mode drivers to be signed using EV certificates.

As we saw above, EV certificates are more secure because they need higher levels of requirement to be obtained and because the probability to be stolen is virtually null since they are tied to hardware devices (HSM). However, their high cost is an impediment to independent developers and small companies. We, at Adlice Software, are in this case.

....

Conclusion

Code signing is an invaluable approach to better protect users from malicious contents, to authenticate the publisher of an executable and to protect a file from unwanted modifications.

For the time being, a digital signature in a file does not mean it’s safe. In the future, if EV certificates become cheaper and more straightforward to obtain, we can make the assumption it could become true.
Y la gente no se queja (nos quejamos) sólo del precio, sino, de los requisitos que piden para obtener el certificado de marras. Nótese que este chico en concreto está hablando de un certificado para firmar "drivers", pero, antes de que nadie vaya a comentar sobre esto, ocurre igual para certificados de firma de código "normales". Siguen siendo caros y difíciles de conseguir.

En fin, esto pinta muy mal, desafortunadamente.
__________________
David Esperalta
www.decsoftutils.com
Responder Con Cita
  #8  
Antiguo 05-12-2017
Avatar de jhonny
jhonny jhonny is offline
Jhonny Suárez
 
Registrado: may 2003
Ubicación: Colombia
Posts: 7.058
Poder: 30
jhonny Va camino a la famajhonny Va camino a la fama
De momento no me ha afectado en mayor medida, sin embargo a futuro es preocupante esta situación, por otro lado uno quisiera firmar su software pero con semejantes precios y requisitos... pues será poner en el manual de usuarios que hagan click en aceptar a todos los letreros rojos que les salgan.
__________________
Lecciones de mi Madre. Tema: modificación del comportamiento, "Pará de actuar como tu padre!"

http://www.purodelphi.com/
http://www.nosolodelphi.com/
Responder Con Cita
  #9  
Antiguo 05-12-2017
Avatar de dec
dec dec is offline
Moderador
 
Registrado: dic 2004
Ubicación: Alcobendas, Madrid, España
Posts: 13.119
Poder: 34
dec Tiene un aura espectaculardec Tiene un aura espectacular
Hola a todos,

Cita:
Empezado por jhonny Ver Mensaje
De momento no me ha afectado en mayor medida, sin embargo a futuro es preocupante esta situación, por otro lado uno quisiera firmar su software pero con semejantes precios y requisitos... pues será poner en el manual de usuarios que hagan click en aceptar a todos los letreros rojos que les salgan.
Así lo veo yo también Jhonny: aunque al final yo obtuviese un número "DUNS", cosa que puede llevar unos 30 días, y, veremos si es realmente gratuito o qué... lo cierto es que, para obtener un número "DUNS", hace falta estar dado de alta como autónomo. Es decir, ya no sólo es una cuestión de dinero, que también, sino que, ahora mismo, un chaval aficionado a crear programas con Delphi, pongamos por caso, no puede firmar sus programas si no está dado de alta como autónomo, etc.

O sea, incluso cuando yo pudiese conseguir el certificado (que está por ver), no me gusta nada cómo está montado todo este asunto. Y, por otro lado, lo de indicar a posibles clientes "que acepten los mensajes de advertencia", ya hay gente que está haciendo esto (por lo difícil de obtener un certificado y por su precio), pero, es que esto cada vez está peor... en Windows 7 era una advertencia, en Windows 10 son dos pantallas "rojas" por las que el usuario ha de pasar. De hecho, para ejecutar un programa no firmado, se precisan al menos cinco "clics" en lugar de los dos "habituales".

En fin, que es lo que trato de decir, que, parece que la gente que no está dada de alta en autónomos, la gente que hace programas por gusto, por ejemplo, o que, está intentando salir adelante (y no puede darse de alta en autónomos por el gasto que conlleva), esta gente, digo, puede que no tenga opción a conseguir un certificado con el que firmar sus propios programas... incluso en el caso de estar dispuesto a pagar lo que valen, simplemente, no cumplirá los requisitos impuestos...
__________________
David Esperalta
www.decsoftutils.com

Última edición por dec fecha: 05-12-2017 a las 18:13:45.
Responder Con Cita
Respuesta



Normas de Publicación
no Puedes crear nuevos temas
no Puedes responder a temas
no Puedes adjuntar archivos
no Puedes editar tus mensajes

El código vB está habilitado
Las caritas están habilitado
Código [IMG] está habilitado
Código HTML está deshabilitado
Saltar a Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
por que no me ignora algunas lineas de codigo MOCOSO07 Varios 3 03-04-2009 20:58:02
algunas dudar sobre funcion para obtener directorio javier20 OOP 1 20-06-2007 23:41:14


La franja horaria es GMT +2. Ahora son las 01:32:23.


Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi
Copyright 1996-2007 Club Delphi