Conseguir un certificado digital para firmar código

[Casimiro Notevi]

Retraso, seguro que no tienes ninguno, sino todo lo contrario
Son de esas cosas que no son urgentes y que suelen ir dejándose hasta que llega un día que se dice: "¡ya!", eso ocurrió ayer, hoy ya es historia

[dec]

Hola,

Retraso, Casimiro, ¡que te lo digo yo! Mira, voy a referirlo para dejarlo claro:

1º Hace un par de años (de reloj, como me gusta decir, aunque no gasto) empecé a notar los avisos que mostraba Windows y me hicieron interesarme por esto de los certificados. Ví lo que tenía que hacer y, aunque lo intenté, no pude llevarlo a cabo, porque, entonces no tenía una línea de teléfono fija a mi nombre, y, era imprescindible tenerla, pues esta gente busca en las guías de teléfonos (o puede hacerlo) como uno de los pasos de verificación.

2º Pues bien, hace un mes (también de reloj, además, justamente hoy 17 hace un mes) me dí cuenta de que podía cambiar a mi nombre contrato de telefonia que tenemos en casa: se hace mediante internet y no cuesta nada en absoluto. Así que dado este paso, hace unos días (otra vez de reloj) mi teléfono por fin aparecía en la guía, puesto que yo expresé que así fuese (marcando una casilla en la web de mi operadora). Que el teléfono aparezca en la guía ha costado casi un mes completo.

3º Ya con el teléfono en la guía, y, suponiendo que el resto de documentos serían los que ya tenía (puesto que la otra vez sólo falló lo de la guía) compré de nuevo el "intento de certificado". Por tres años, ¿eh? Vamos, que estaba bien dispuesto a ello. Pero hete aquí que acaso metí la pata o tal vez no, verás. El caso es que me adelanté enviándoles los documentos antes de que me los pidieran, incluyendo la referencia a la guía de teléfonos donde aparece mi número. Ahora veo que esto fue un error.

En efecto, en este sitio web en que al final he conseguido el certificado, puede leerse que no debes mandar más documentos que los que te pidan: al fin y al cabo uno el proceso de validación también comprende el hecho de puedan buscarte y encontrarte en internet por ellos mismos. Por ejemplo, exigen que tengas un dominio y que el "whois" sea público y en el mismo figuren tus datos, exactamente los mismos datos que proporcionaste al solicitar el certificado.

También es cierto que lo de que me adelanté lo pienso ahora. Quiero decir, que, en efecto, lo del "notario" no me lo he inventado yo. Por lo que he leído (en la página de GoDaddy, revendedor de la certificadora Comodo), se menciona que "ahora" (es decir, desde un tiempo a esta parte) se exige la verificación que llaman "face to face", vamos, el asunto de contactar con un notario, abogado o quien quiera que pueda verificar (pero esto tienes que hacerlo tú, ya sabes) que tú eres quien dices ser.

4º Como veo que no puedo conseguir el certificado, comienzo de nuevo a darle vueltas a la cabeza, buscando acaso sitios alternativos, pero, no resulta sencillo, pues, como digo más arriba, no hay muchas entidades certificadoras (se cuentan con los dedos de las manos) y algunas de ellas tienen unos precios prohibitivos (más de $500 USD anuales). En todo caso y por suerte K-Software (el revendedor de Comodo con el que traté hace dos años y ahora) no tiene problemas en devolverte el dinero si al cabo no puedes obtener el certificado por el motivo que sea.

5º Como veo que no voy a llegar a nada, me decido a escribir aquí un mensaje, porque, además no parece que exista mucha información (en Español, en España) acerca de estos asuntos. Pienso que la gran mayoría de desarrolladores son empresas o autónomos, y, de este modo el pedido del certificado discurre por otros cauces: no se trata de identificarte a ti, sino, además también a la empresa para la que solicitas el certificado.

6º Llega Mario (mamcx) y menciona el sitio web StartSSL. En mi búsqueda yo ya había visitado este sitio, pero, no me había fijado bien en lo que Mario me indicó: que tal vez no hiciese falta aquí el proceso del notario de marras. No me había fijado, seguramente, porque tenía la cabeza como un bombo al ver que mis esfuerzos habían sido en vano. Pero, leyendo atentamente, en efecto, parece que cumplo con los requisitos, y además ofrecen certificados propios, no es un revendedor, y además son bastante baratos, de hecho, más baratos que en K-Software/Comodo.

7º Así que sigo adelante y les envío la documentación que me solicitan. Miento, porque, ellos dicen de un pasaporte, y yo, que no he salido de mi ciudad/dormitorio, les presento mi DNI, mi carné de conducir hierros, una factura de teléfono y un extracto bancario. Con esta documentación y con mis datos personales en el "whois" de mi dominio, mi teléfono, en fin, solicito la validación de mi persona y, en menos de cinco minutos (¡de reloj!) me envían un par de correos diciéndome que se ponen a ello.

8º En otros veinte minutos recibo una llamada de teléfono desde California, que, en mi churringlés, medio consigo llevar adelante. Una señorita muy amable me pregunta si he solicitado un certificado, cómo me llamo y dónde nací. Acto seguido se despide amablemente y al rato recibo un correo electrónico diciéndome que la verificación se ha llevado a cabo con éxito y ya puedo obtener el certificado. Y así es, en efecto, menos de una hora ya he aprendido lo bastante de OpenSSL para crear claves privadas y lo necesario para obtener el certificado, lo solicito, y me lo proporcionan.

Resumen: Dos años, Casimiro, al menos, ¡dos años de reloj y de retraso para algo que se podía hacer en un par de horas!

Notas sobre StartSSL: Me ha gustado mucho cómo funciona esta gente. En primer lugar, y, por ejemplo, cuando te registras en su web para solicitar un certificado (ojo que ofrecen certificados gratuitos para sitios web), se siguen pasos distintos de los de K-Software. Aquí se empieza por generarse un "certificado personal", que, te servirá para autenticarte en el sitio web en el futuro.

Después de eso, no se paga por los certificados. Esto es curioso, porque, ellos mismos los mencionan, es un modelo de negocio "raro": yo al menos no he visto cosa igual estos días. Ellos cobran no por el certificado sino por el proceso de verificación. Es decir, los $58 USD que he pagado (más barato incluso que K-Software, por cierto) han sido por el proceso de validación, y, creo que tengo certificado para al menos un año, si no me equivoco, tal vez hasta dos.

Por si fuera poco, los certificados que proporciona esta gente son bastante interesantes, puesto que no sólo sirven para firmar código:

Cita:

StartSSL™ Verified (Class 2 / 3) digital certificates are ideal for authentication, B2B and B2C transactions, protection of electronic mail and signing of object code and macros. More than that, StartSSL™ Verified provides a level of flexibility and support options not found anywhere else. StartSSL™ Verified supports:

Web server certificates (SSL/TLS)
Wild cards (*.domain.com)
Multiple domains (DNS Alt Names)
128/256-bit encryption
Object Code Signing
Client and mail certificates (S/MIME)
US $ 10,000 insurance guaranteed
Certificates 2 or 3 Years valid

La verificación "Clase 2" es la que yo he obtenido, es la verificación "individual". La "Clase 3" es la verificación para empresas. Lo importante es que para poder firmar código (entre las otras cosas que se leen arriba) basta con la verificación de "Clase 2". Y en StartSSL, como hemos visto, de momento, no necesitan notarios ni abogados para comprobar tu identidad, al menos no para la verificación de "Clase 2".

En fin, tampoco quiero aburrir con el tema. Seguramente StartSSL no sea perfecto. Su sitio web no lusce muy "moderno", pero, ojo, su panel de control, moderno o no, funciona muy bien y ofrece todo lo necesario: desde solicitar el certificado hasta obtener el archivo "PFX" para firmar los programas. Así que si soy tan pesado es por si alguno está necesitando algo similar y puede aprovecharse de este hilo.

¡Y no esperar dos años como yo para obtener el dichoso certificado con el que firmar nuestros programas!

P.D. Madre mía que rollo he soltado. Pido disculpas.

[Casimiro Notevi]

Ahora le ponemos la "chincheta" y ya tenemos un tutorial sobre el tema.

[dec]

Hola,

Bueno. Una cosa más. Antes mencioné que Windows 10 muestra cierto diálogo si el usuario descarga un archivo ejecutable Propuse como posible solución comprimir dicho ejecutable en un zip y dejar que sea esto lo que se descargue. En efecto, esta solución parece funcionar. De alguna forma, Windows 10 "marca" los ejecutables descargados, pero, no así los archivos zip.

Cuando el usuario descomprime y ejecuta el archivo ejecutable contenido en el zip, Windows muestra un diálogo de advertencia, pero, este incluye ya el nombre del certificado del ejecutable. No así el mensaje de advertencia cuando se descarga un archivo ejecutable, que, obliga además al usuario a pulsar un botón "Más información" para poner ejecutar el programa.

[Nasca]

Gracias por compartir ese detalle.

Una anotación por el tema de la firma de tiempo. Si usas signtool.exe para la firma mira la opción para indicar una marca de tiempo al programa.

Solo hay que añadir un parámetro a (o similar):

"C:\Archivos de programa\Microsoft SDKs\Windows\v7.1\Bin\signtool.exe" /t http://timestamp.verisign.com/scripts/timstamp.dll

Por cierto, lo he probado en Windows XP y se verifica correctamente.

[[Al González]]

Muchísimas gracias, David.

Les has ahorrado cientos de horas de trabajo a buena parte de la comunidad de programadores (incluyendo a personal de la empresa donde laboro).

[dec]

Hola,

Cita:

Empezado por Nasca

Gracias por compartir ese detalle.

Una anotación por el tema de la firma de tiempo. Si usas signtool.exe para la firma mira la opción para indicar una marca de tiempo al programa.

Solo hay que añadir un parámetro a (o similar):

"C:\Archivos de programa\Microsoft SDKs\Windows\v7.1\Bin\signtool.exe" /t http://timestamp.verisign.com/scripts/timstamp.dll

Por cierto, lo he probado en Windows XP y se verifica correctamente.

Hum... no sé si llegué a subir algún archivo sin marca de tiempo y tú lo bastante entonces. Ahora mismo se supone que estoy haciendo lo que dices usando el servicio que proporciona el propio StartSSL.com. Gracias por comentar lo de Windows XP, en efecto, el asunto parece funcionar también en Windows 10.

Cita:

Empezado por Al González

Muchísimas gracias, David.

Les has ahorrado cientos de horas de trabajo a buena parte de la comunidad de programadores (incluyendo a personal de la empresa donde laboro).

¡No faltaba más! En realidad soy yo el agradecido. Pero es verdad, el servicio es bastante bueno (al menos si se comportan como conmigo) y el certificado es hasta más barato que en K-Software/Comodo, puesto que creo que son dos años de certificado por $59 dólares. Y por cierto que el título de este hilo se centraba en España, pero, voy a renombrarlo, puesto que StartSSL.com parece servir a todo el mundo.