Conseguir un certificado digital para firmar código

[dec]

Hola,

Acabo de atreverme con el sitio web indicado por mamcx. Acabo de finalizar el "Validation wizard" y ahora estoy a la espera de que contacten conmigo.

¡Os mantendré informados!

[mamcx]

Cita:

Empezado por dec

Hola,

He visitado esa página, pero, no estoy seguro de que sirvan certificados para programas, parece que son sólo para sitios web, ¿o me equivoco?

Si te refieres a esta (https://www.startssl.com/?app=39) veras que dice "Code Signing", osea que si sirve. Igual si queres les escribes. O usas la del blog: http://ksoftware.net/.

Con respecto al documento: Obvio, necesitas traducir lo importante, eso no te lo va a hacer el notario . En las instrucciones no veo nada complejo, fuera de lo normal (aparte de que este en ingles). Lo importante es que lo lleves todo preparado, que esa gente solo le interesa cobrar y firmar. Hay te dicen que lo puede hacer un notario o un abogado.

Puedes intentar con los otros dos sitios a ver si tienen menos pasos (les preguntas que te den todas las instrucciones antes de comprar).

Y compralo por mas de 1 año pa que no te toque hacer la vuelta seguido

P.D: Siempre es bueno tener de conocido un abogado & contador. Al amigo cerca, y al enemigo .....

[dec]

Hola,

Cita:

Empezado por mamcx

Si te refieres a esta (https://www.startssl.com/?app=39) veras que dice "Code Signing", osea que si sirve. Igual si queres les escribes. O usas la del blog: http://ksoftware.net/.

Este sitio me ha llamado la atención porque parece que no cobran por el certificado sino por el proceso de validación. Tal vez si al final no funciona no cobrarán nada. Por otro lado no es muy caro ($59 USD) y parece que no requiren del notario, al menos para la validación de "Clase 2", que, es la necesaria para después obtener certificados "individuales" que, en efecto, parecen servir para firmar programas: "object code".

Cita:

Empezado por mamcx

Con respecto al documento: Obvio, necesitas traducir lo importante, eso no te lo va a hacer el notario . En las instrucciones no veo nada complejo, fuera de lo normal (aparte de que este en ingles). Lo importante es que lo lleves todo preparado, que esa gente solo le interesa cobrar y firmar. Hay te dicen que lo puede hacer un notario o un abogado.

Yo tampoco veo nada complejo en las instrucciones usando un poco el sentido común. Pero fue el notario mismo el que habló de traducir el documento. ¿Traducirlo para qué, si a quien tienes que remitirle la documentación no le puedes enviar ninguna traducción? Leí que podía hacerlo un abogado, pero, consultado uno, me remitió a un notario. No sabían inglés y no se molestaron en leer el documento en cuestión.

Cita:

Empezado por mamcx

Puedes intentar con los otros dos sitios a ver si tienen menos pasos (les preguntas que te den todas las instrucciones antes de comprar).

Parece que lo del proceso notarial se está poniendo de moda y los proveedores que he visto accesibles en precio (Comodo y Thawte) sí que lo requieren y además lo especifican claramente. Por otro lado si tratamos con "resellers" (porque los precios varían hasta un 70% respecto de los sitios "oficiales") he consultado con algunos de ellos y, o no han sido claros, o me han mandado al "oficial", o me han dicho que "individualmente" no puedo hacerlo. En "Thawte", por ejemplo, he llegado a leer que no facilitan certificados individuales a gente fuera de Suiza, Francia, Alemania y algún otro país más, pero no España.

Cita:

Empezado por mamcx

Y compralo por mas de 1 año pa que no te toque hacer la vuelta seguido

Eso lo pensé y lo intenté por tres años. Pareciera que las renovaciones fuesen más sencillas. En todo caso, en el sitio web de que tratamos ahora, ya digo que no parecen cobrar por el certificado sino por el proceso de validación y esto habría de hacerse anualmente, si no me equivoco.

Cita:

Empezado por mamcx

P.D: Siempre es bueno tener de conocido un abogado & contador. Al amigo cerca, y al enemigo .....

¡Seguro! Pero esta sociedad está muy compartimentada, y, por ejemplo, en mi barrio, encontrarás fontaneros, albañiles, electricistas, operarios, conductores, pero no abogados, médicos o similares. Esa gente, simplemente, está en su propio compartimento. Pero es verdad que no me importaría.

En fin, ¡ya veremos qué dice esta gente! Yo les he enviado mi DNI (Documento Nacional de Identidad), mi carné de conducir, un extracto bancario y una factura de teléfono. Por lo demás me registré con mi nombre, indicando un correo electrónico de mi dominio, en cuyo "whois" también reza mi nombre, dirección, etc.

¡A ver si hay suerte!

[dec]

Hola,

Bueno, pues, una cosa está clara y es que son rápidos... he recibido ya un par de correos y acabo de recibir una llamada de teléfono desde California, o sea, una señorita preguntándome por el certificado, si lo había pedido, cuándo había nacido y dónde. Así que creo que al final esto se va a conseguir por este medio. Pero os seguiré informando de cómo queda todo.

[dec]

Hola,

Acaban de enviarme un correo para que paguese por Paypal los $59 USD y acabo de proceder a ello. Seguiremos informando.

[dec]

Hola,

¡Ya está! O sea, al menos el proceso de validación ha finalizado con éxito. Más rápido imposible. ¡Cuestión de minutos! Ahora voy a ver si, en efecto, puedo conseguir el certificado y puedo firmar alguna cosa... ya os iré contando.

P.D. Muchas gracias mamcx. Yo había mirado ya esa página, pero, no me había fijado hasta el punto de ver que acaso tenía una posible solución.

[Casimiro Notevi]

Ha tenido que ser en un país del primer mundo.

[dec]

Hola,

Parece que el asunto va bien Casimiro, pero, al iniciar el "Certificates Wizard" me piden esto:

Cita:

Submit Certificate Request (CSR)

Copy and paste the content from the certificate request into the textbox below.
Make sure, that you do not alter the content and you did not add any spaces!
Always include the headers and footers of the CSR.
The CSR must have a SHA1 secure hash or better, MD5 hashes are not allowed.
The RSA key size must be at least 2048 bit.

... y ahora mismo no tengo ni idea de qué demonios se supone tengo que hacer...

[mamcx]

Busca con openssl como se hace Certificate Request, aunque si creo recordar la pagina/correo deberia tener un link al tutorial? Yo uso mac que tiene un wizard para hacer eso, pero eso lo tienes que hacer en tu maquina. Recuerda un muy buen backup de todos esos certificados...

[Casimiro Notevi]

¿No te han dado ninguna instrucción?
Aparentemente ¿está buscando un fichero de clave privada?

[dec]

Hola,

No; la culpa la tengo yo Casimiro. Parece que ahora toca pegarse con OpenSSL para obtener varias cosas: una clave privada y un "Certificate Request (CSR)". Ahora estoy viendo cómo generar dicho "CSR" en forma de "texto", puesto que parece que es así como lo tengo que enviar. Para alguien nuevo en esto parece más complicado de lo que al final va a resultar. Vamos a ver...

P.D. Pero lo principal está hecho, es decir, si no me equivoco, ya podría optar al certificado en cuestión (espero que funcione como debe), lo que falta ya puedo conseguirlo sin notario de por medio.

[Casimiro Notevi]

A ver, seguro que lo solucionas rápido.

[dec]

Hola,

Buff... aquí los pasos más o menos:

1º Descargar OpenSSL para Windows, yo he descargado la última versión desde aquí.

2º He seguido los pasos indicados aquí para crear una clave privada y un "Certificate Signing Request (CSR)"

He perdido tiempo porque me requerían un "texto" y yo sólo veía que OpenSSL genera archivos "CRT", que, para mi sorpresa, son archivos de texto... justo el texto que te piden.

Por lo demás, una vez enviado dicho "CSR" desde el panel de control de startssl.com, me indican que ahora debo esperar unas pocas horas para que ellos tramiten el asunto. Con suerte serán tan rápidos como antes.

[dec]

Hola,

¡Pues ya está! Parece que funciona como se espera. Ahora toca ponerme a firmar programas como un loco.

P.D. Aprovechad los que queráis conseguir un certificado, puesto que igual esta gente sube los condiciones o algo así... yo acabo de probar que funciona como se espera en mi PC con Windows 10 y en mi portátil también con Windows 10. En los $59 USD se incluye la validación y el certificado. Te cobran después de validarte, así que igual no te cobrarían si no te validan. Y hablamos de un año de duración. La verdad, creo que está bastante bien. ¿No?

[dec]

Hola,

Bueno, pues, después de cuatro horas (según veo por el mensaje de arriba) puedo decir que todos mis programas están firmados y así disponibles. La verdad es que el asunto no pintaba demasiado bien, pero, mira tú por dónde al final no ha salido del todo mal. Sólo he notado que, al menos en Windows 10, puede seguir apareciendo cierto diálogo intimidatorio para el usuario. Este deberá pulsar el botón "más información", y, en efecto, ahí podrá ver mi nombre (peor es que aparezca "desconocido"), pero, no antes de pulsar en el botón "más información".

El diálogo en cuestión aparece al descargar uno de mis programas desde internet. Es decir, existen otros diálogos similares, pero, en estos otros sí se muestra mi nombre sin necesidad de pulsar en botón alguno. Yo achaco a la "calidad" del certificado el que no pueda "pasar" el primer diálogo, aunque, a decir verdad no estoy seguro del todo: ¿tal vez intervenga el dominio desde el que se descarga el programa?

En todo caso pienso en una posible solución que tal vez funcionase y tengo que probar: en lugar de distribuir los programas ejecutables, comprimirlos en un zip. De este modo, el usuario descarga un archivo zip de internet que tendrá que descomprimir, y, si mi idea es correcta, al ejecutar el programa contenido en el archivo zip ya no aparecerá el primero de los diálogos mencionados.

Y, para terminar, tal vez os apetecería descargaros alguno de mis programas (podéis verlos en la web de mi firma), únicamente para comentar aquí cómo se comporta el certificado, es decir, qué tipo de diálogo os aparece al intentar instalarlo, etc. No hace falta que lo instaléis si no queréis. ¿De acuerdo? Por supuesto, cualquier otro comentario será bien recibido.

En fin, esto último es opcional. ¡Y gracias a todos!

[Casimiro Notevi]

Ayer tenías esta inquietud, hoy está solucionado

[dec]

Hola,

¡Uy si hubiese sido ayer! Ayer lo comenté por aquí pero llevo unos dos años consciente de que tenía que conseguir el asunto y hasta ahora, Casimiro, ya me dirás qué tipo de retraso sufro.

[Casimiro Notevi]

Retraso, seguro que no tienes ninguno, sino todo lo contrario
Son de esas cosas que no son urgentes y que suelen ir dejándose hasta que llega un día que se dice: "¡ya!", eso ocurrió ayer, hoy ya es historia

[dec]

Hola,

Retraso, Casimiro, ¡que te lo digo yo! Mira, voy a referirlo para dejarlo claro:

1º Hace un par de años (de reloj, como me gusta decir, aunque no gasto) empecé a notar los avisos que mostraba Windows y me hicieron interesarme por esto de los certificados. Ví lo que tenía que hacer y, aunque lo intenté, no pude llevarlo a cabo, porque, entonces no tenía una línea de teléfono fija a mi nombre, y, era imprescindible tenerla, pues esta gente busca en las guías de teléfonos (o puede hacerlo) como uno de los pasos de verificación.

2º Pues bien, hace un mes (también de reloj, además, justamente hoy 17 hace un mes) me dí cuenta de que podía cambiar a mi nombre contrato de telefonia que tenemos en casa: se hace mediante internet y no cuesta nada en absoluto. Así que dado este paso, hace unos días (otra vez de reloj) mi teléfono por fin aparecía en la guía, puesto que yo expresé que así fuese (marcando una casilla en la web de mi operadora). Que el teléfono aparezca en la guía ha costado casi un mes completo.

3º Ya con el teléfono en la guía, y, suponiendo que el resto de documentos serían los que ya tenía (puesto que la otra vez sólo falló lo de la guía) compré de nuevo el "intento de certificado". Por tres años, ¿eh? Vamos, que estaba bien dispuesto a ello. Pero hete aquí que acaso metí la pata o tal vez no, verás. El caso es que me adelanté enviándoles los documentos antes de que me los pidieran, incluyendo la referencia a la guía de teléfonos donde aparece mi número. Ahora veo que esto fue un error.

En efecto, en este sitio web en que al final he conseguido el certificado, puede leerse que no debes mandar más documentos que los que te pidan: al fin y al cabo uno el proceso de validación también comprende el hecho de puedan buscarte y encontrarte en internet por ellos mismos. Por ejemplo, exigen que tengas un dominio y que el "whois" sea público y en el mismo figuren tus datos, exactamente los mismos datos que proporcionaste al solicitar el certificado.

También es cierto que lo de que me adelanté lo pienso ahora. Quiero decir, que, en efecto, lo del "notario" no me lo he inventado yo. Por lo que he leído (en la página de GoDaddy, revendedor de la certificadora Comodo), se menciona que "ahora" (es decir, desde un tiempo a esta parte) se exige la verificación que llaman "face to face", vamos, el asunto de contactar con un notario, abogado o quien quiera que pueda verificar (pero esto tienes que hacerlo tú, ya sabes) que tú eres quien dices ser.

4º Como veo que no puedo conseguir el certificado, comienzo de nuevo a darle vueltas a la cabeza, buscando acaso sitios alternativos, pero, no resulta sencillo, pues, como digo más arriba, no hay muchas entidades certificadoras (se cuentan con los dedos de las manos) y algunas de ellas tienen unos precios prohibitivos (más de $500 USD anuales). En todo caso y por suerte K-Software (el revendedor de Comodo con el que traté hace dos años y ahora) no tiene problemas en devolverte el dinero si al cabo no puedes obtener el certificado por el motivo que sea.

5º Como veo que no voy a llegar a nada, me decido a escribir aquí un mensaje, porque, además no parece que exista mucha información (en Español, en España) acerca de estos asuntos. Pienso que la gran mayoría de desarrolladores son empresas o autónomos, y, de este modo el pedido del certificado discurre por otros cauces: no se trata de identificarte a ti, sino, además también a la empresa para la que solicitas el certificado.

6º Llega Mario (mamcx) y menciona el sitio web StartSSL. En mi búsqueda yo ya había visitado este sitio, pero, no me había fijado bien en lo que Mario me indicó: que tal vez no hiciese falta aquí el proceso del notario de marras. No me había fijado, seguramente, porque tenía la cabeza como un bombo al ver que mis esfuerzos habían sido en vano. Pero, leyendo atentamente, en efecto, parece que cumplo con los requisitos, y además ofrecen certificados propios, no es un revendedor, y además son bastante baratos, de hecho, más baratos que en K-Software/Comodo.

7º Así que sigo adelante y les envío la documentación que me solicitan. Miento, porque, ellos dicen de un pasaporte, y yo, que no he salido de mi ciudad/dormitorio, les presento mi DNI, mi carné de conducir hierros, una factura de teléfono y un extracto bancario. Con esta documentación y con mis datos personales en el "whois" de mi dominio, mi teléfono, en fin, solicito la validación de mi persona y, en menos de cinco minutos (¡de reloj!) me envían un par de correos diciéndome que se ponen a ello.

8º En otros veinte minutos recibo una llamada de teléfono desde California, que, en mi churringlés, medio consigo llevar adelante. Una señorita muy amable me pregunta si he solicitado un certificado, cómo me llamo y dónde nací. Acto seguido se despide amablemente y al rato recibo un correo electrónico diciéndome que la verificación se ha llevado a cabo con éxito y ya puedo obtener el certificado. Y así es, en efecto, menos de una hora ya he aprendido lo bastante de OpenSSL para crear claves privadas y lo necesario para obtener el certificado, lo solicito, y me lo proporcionan.

Resumen: Dos años, Casimiro, al menos, ¡dos años de reloj y de retraso para algo que se podía hacer en un par de horas!

Notas sobre StartSSL: Me ha gustado mucho cómo funciona esta gente. En primer lugar, y, por ejemplo, cuando te registras en su web para solicitar un certificado (ojo que ofrecen certificados gratuitos para sitios web), se siguen pasos distintos de los de K-Software. Aquí se empieza por generarse un "certificado personal", que, te servirá para autenticarte en el sitio web en el futuro.

Después de eso, no se paga por los certificados. Esto es curioso, porque, ellos mismos los mencionan, es un modelo de negocio "raro": yo al menos no he visto cosa igual estos días. Ellos cobran no por el certificado sino por el proceso de verificación. Es decir, los $58 USD que he pagado (más barato incluso que K-Software, por cierto) han sido por el proceso de validación, y, creo que tengo certificado para al menos un año, si no me equivoco, tal vez hasta dos.

Por si fuera poco, los certificados que proporciona esta gente son bastante interesantes, puesto que no sólo sirven para firmar código:

Cita:

StartSSL™ Verified (Class 2 / 3) digital certificates are ideal for authentication, B2B and B2C transactions, protection of electronic mail and signing of object code and macros. More than that, StartSSL™ Verified provides a level of flexibility and support options not found anywhere else. StartSSL™ Verified supports:

Web server certificates (SSL/TLS)
Wild cards (*.domain.com)
Multiple domains (DNS Alt Names)
128/256-bit encryption
Object Code Signing
Client and mail certificates (S/MIME)
US $ 10,000 insurance guaranteed
Certificates 2 or 3 Years valid

La verificación "Clase 2" es la que yo he obtenido, es la verificación "individual". La "Clase 3" es la verificación para empresas. Lo importante es que para poder firmar código (entre las otras cosas que se leen arriba) basta con la verificación de "Clase 2". Y en StartSSL, como hemos visto, de momento, no necesitan notarios ni abogados para comprobar tu identidad, al menos no para la verificación de "Clase 2".

En fin, tampoco quiero aburrir con el tema. Seguramente StartSSL no sea perfecto. Su sitio web no lusce muy "moderno", pero, ojo, su panel de control, moderno o no, funciona muy bien y ofrece todo lo necesario: desde solicitar el certificado hasta obtener el archivo "PFX" para firmar los programas. Así que si soy tan pesado es por si alguno está necesitando algo similar y puede aprovecharse de este hilo.

¡Y no esperar dos años como yo para obtener el dichoso certificado con el que firmar nuestros programas!

P.D. Madre mía que rollo he soltado. Pido disculpas.

[Casimiro Notevi]

Ahora le ponemos la "chincheta" y ya tenemos un tutorial sobre el tema.