Conseguir un certificado digital para firmar código

[dec]

Hola a todos,

¡Esto es un no parar! Recibo un mensaje sobre la última actualización de Inno Setup indicando que ya viene preparado para la "doble firma" y con el enlace a un artículo donde se dice que Microsoft ya no soportará más el algoritmo SHA1. Así que ahora tenemos que usar SHA2 o hacer lo mismo que Inno Setup hace, firmándose tanto con SHA1 como con SHA2.

El caso es que ayer quise conseguir un nuevo certificado en StartSSL que viniese ya con SHA2. Primero tuve que revocar el certificado anterior y esto ha tardado un día en llevarse a cabo, aunque sin ningún otro coste. Pero resulta que, aunque seguí los pasos que se indican en este artículo y traté de usar SHA2 en OpenSSL, el asunto no ha funcionado.

Mi certificado sigue siendo SHA1, o sea, que he hecho un pan como unas tortas, como suele decirse. Así que me he puesto en contacto con StartSSL (les he enviado un formulario y parece ser que contactarán conmigo) preguntándoles cómo puedo crear un certificado que incorpore SHA2 en lugar de SHA1. Y ya veremos a ver qué me responden...

[Reasen]

Tengo una duda, nose si es estúpida pero la tengo... Después si tienes que hacer unos cambios en tu software tendrías que refirmarlo supongo, entonces lo que hay que hacer si se tiene un certificado es implementar como un sistema de "plugins" y dejar la aplicación firmada como un "loader del software" por si así tienes que cambiar algo sea posible por ejemplo por DLL's, nose si me explico.

[dec]

Hola,

No sé si lo entendí bien Reasen, pero, si hacemos algún cambio en un archivo EXE o DLL, necesariamente habremos de firmarlo de nuevo. Si no me equivoco, no es posible hacer un cambio sin "romper" la firma, puesto que esta garantiza de algún modo también eso mismo: que el archivo no ha sido modificado después de firmarse. Lo que yo hago es usar algunos archivos BAT que me firmen los ejecutables que crea Delphi, y, tengo Inno Setup configurado de forma que firme los instaladores (ejecutables) de mis programas.

P.D. Todavía no me han respondido desde StartSSL, no sé si volver a enviar el formulario o probar con el soporte "7/24" de su página web.

[Reasen]

Vale, ya me solucionaste algunas dudas y bueno lo del soporte "7/24" te recomendaría hablar con alguien de esa web si se trata de un chat en tiempo real, sino pues será bastante lioso enviar otro "informe" sin resolver el anterior.

[dec]

Cita:

Empezado por Reasen

Vale, ya me solucionaste algunas dudas y bueno lo del soporte "7/24" te recomendaría hablar con alguien de esa web si se trata de un chat en tiempo real, sino pues será bastante lioso enviar otro "informe" sin resolver el anterior.

Sí; eso voy a hacer en cuanto tenga un poco de tiempo. Ya contaré qué tal me va.

[miado]

Cita:

Empezado por dec

Sí; eso voy a hacer en cuanto tenga un poco de tiempo. Ya contaré qué tal me va.

Hola Dec, estoy en la misma situación que tu, te han respondido ya la forma de tener el certificado con el agoritmo SHA2 y que puedan firmarse los ejecutables con el y los ejecutables se reconozcan como tal?
Yo por mas pruebas que hago no lo consigo.
En el momento que sale uno de Delphi........ que complicado es todo.
Gracias.

[dec]

Hola,

Lamentablemente, esta gente de StartSSL no respondió mi petición de ayuda. Y, en el "chat de soporte", tampoco consiguieron solucionarme el problema. De hecho revoqué mi anterior certificado y me dieron otro nuevo, pero, se sigue usando el algoritmo SHA1 y no SHA2. La verdad es que ahora mismo no tengo tiempo en absoluto (estoy muy liado con cierta enfermedad aquí en casa) y por tanto no puedo ocuparme de este asunto como me gustaría.