Conseguir un certificado digital para firmar código

[Nasca]

Antes de nada gracias a dec por ampliar su experiencia. Es una estupenda guía para obtener el certificado con StartSSL.
Finalmente he decidido evitarles los sustos que le da a los usuarios firmar con el certificado de la FNMT.

He realizado el procedimiento con www.startssl.com.
Añado alguna información que puede ser de utilidad a otro que se lance con ellos.

Tienen una opción de verificación postal alternativa a la telefónica. Yo tenía un pequeño lío con las direcciones y al final este método me ha resuelto el problema y me ha evitado balbucear mi pésimo inglés. Como curiosidad, la verificación postal se realiza desde Israel, creo que la empresa también es de Israel.

Son muy accesibles, no son máquinas insensible. Son personas las que te atienden y se nota que están por ayudar.
Yo he cruzado numerosos correos con ellos, rozando a veces el límite cansino, y son rápidos y razonables.

Respecto a la validez de los certificados:

Cita:

Class 2 certificates are valid for two years, and class 2 validations are valid for 350 days. During this period you can create as many certificates at this level as you want and those certificates will be valid for two years. Hope this clarify the things.

O sea que es conveniente que antes del vencimiento de la verificación (350 días) saquemos otro nuevo certificado, por lo que de alguna manera tendríamos cubiertos casi tres años.

Ahora a seguir con la fase de crear los certificados, si encuentro algo nuevo que aportar en el procedimiento, lo añado luego.

[dec]

Hola,

Cita:

Empezado por Nasca

Antes de nada gracias a dec por ampliar su experiencia. Es una estupenda guía para obtener el certificado con StartSSL.

¡Gracias a vosotros! Si no hubiese abierto este hilo estaría sin certificado todavía.

Cita:

Empezado por Nasca

He realizado el procedimiento con www.startssl.com.
Añado alguna información que puede ser de utilidad a otro que se lance con ellos.

Tienen una opción de verificación postal alternativa a la telefónica. Yo tenía un pequeño lío con las direcciones y al final este método me ha resuelto el problema y me ha evitado balbucear mi pésimo inglés. Como curiosidad, la verificación postal se realiza desde Israel, creo que la empresa también es de Israel.

Sí; la empresa debe estar en Israel, puesto que recuerdo que me llamaron desde Estados Unidos. Está bien que digas que puede hacerse por correo postal, puesto que nunca se sabe... ahora tengo una línea de teléfono, pero, mañana tal vez no disponga de ella.

Cita:

Empezado por Nasca

Son muy accesibles, no son máquinas insensible. Son personas las que te atienden y se nota que están por ayudar.
Yo he cruzado numerosos correos con ellos, rozando a veces el límite cansino, y son rápidos y razonables.

Justo lo contrario (creo que lo he comentado) que la gente de Comodo. Al menos en mi experiencia, ya sabréis a qué me refiero: parece que estás hablando sólo o con una máquina, puesto que obtienes respuestas "predeterminadas" digas tú lo que digas... no culpo a la gente que trabaja ahí, claro está.

Cita:

Empezado por Nasca

Respecto a la validez de los certificados:

O sea que es conveniente que antes del vencimiento de la verificación (350 días) saquemos otro nuevo certificado, por lo que de alguna manera tendríamos cubiertos casi tres años.

Lo que yo he entendido es que los certificados duran ya un par de años, aunque no estoy muy seguro de esto. Lo que sí me queda más o menos claro es que esta empresa no cobra por los certificados, sino por el proceso de validación, de modo que, lo que habrá que hacer en un año, será volver a "autenticarse" con ellos y pagar la minuta por ello.

Cita:

Empezado por Nasca

Ahora a seguir con la fase de crear los certificados, si encuentro algo nuevo que aportar en el procedimiento, lo añado luego.

A mí me costó un poco al principio, pero, una vez hecho, el asunto se reduce a usar algún archivo BAT, y, si usamos Inno Setup, configurarlo para que firme los instaladores y desinstaladores. En fin, yo de momento estoy contento con el resultado.

[dec]

Hola a todos,

¡Esto es un no parar! Recibo un mensaje sobre la última actualización de Inno Setup indicando que ya viene preparado para la "doble firma" y con el enlace a un artículo donde se dice que Microsoft ya no soportará más el algoritmo SHA1. Así que ahora tenemos que usar SHA2 o hacer lo mismo que Inno Setup hace, firmándose tanto con SHA1 como con SHA2.

El caso es que ayer quise conseguir un nuevo certificado en StartSSL que viniese ya con SHA2. Primero tuve que revocar el certificado anterior y esto ha tardado un día en llevarse a cabo, aunque sin ningún otro coste. Pero resulta que, aunque seguí los pasos que se indican en este artículo y traté de usar SHA2 en OpenSSL, el asunto no ha funcionado.

Mi certificado sigue siendo SHA1, o sea, que he hecho un pan como unas tortas, como suele decirse. Así que me he puesto en contacto con StartSSL (les he enviado un formulario y parece ser que contactarán conmigo) preguntándoles cómo puedo crear un certificado que incorpore SHA2 en lugar de SHA1. Y ya veremos a ver qué me responden...

[Reasen]

Tengo una duda, nose si es estúpida pero la tengo... Después si tienes que hacer unos cambios en tu software tendrías que refirmarlo supongo, entonces lo que hay que hacer si se tiene un certificado es implementar como un sistema de "plugins" y dejar la aplicación firmada como un "loader del software" por si así tienes que cambiar algo sea posible por ejemplo por DLL's, nose si me explico.

[dec]

Hola,

No sé si lo entendí bien Reasen, pero, si hacemos algún cambio en un archivo EXE o DLL, necesariamente habremos de firmarlo de nuevo. Si no me equivoco, no es posible hacer un cambio sin "romper" la firma, puesto que esta garantiza de algún modo también eso mismo: que el archivo no ha sido modificado después de firmarse. Lo que yo hago es usar algunos archivos BAT que me firmen los ejecutables que crea Delphi, y, tengo Inno Setup configurado de forma que firme los instaladores (ejecutables) de mis programas.

P.D. Todavía no me han respondido desde StartSSL, no sé si volver a enviar el formulario o probar con el soporte "7/24" de su página web.

[Reasen]

Vale, ya me solucionaste algunas dudas y bueno lo del soporte "7/24" te recomendaría hablar con alguien de esa web si se trata de un chat en tiempo real, sino pues será bastante lioso enviar otro "informe" sin resolver el anterior.

[dec]

Cita:

Empezado por Reasen

Vale, ya me solucionaste algunas dudas y bueno lo del soporte "7/24" te recomendaría hablar con alguien de esa web si se trata de un chat en tiempo real, sino pues será bastante lioso enviar otro "informe" sin resolver el anterior.

Sí; eso voy a hacer en cuanto tenga un poco de tiempo. Ya contaré qué tal me va.