Conseguir un certificado digital para firmar código

[Nasca]

Cita:

Empezado por dec

Hola a todos,



Personalmente, cuando se me caduque, intentaré de nuevo con la empresa de que venimos hablando en este hilo. Contactará primero a ver si hay algún problema de que vayan a cerrar o algo así, pero, intentaré hacerlo con ellos por dos razones: su precio, y, porque, me ha funcionado bien el certificado en cuestión. No creo que exista algo mejor de precio, puesto que estamos hablando de unos 60 dólares por un certificado para firmar código que puede durar al menos hasta dos años.

De modo que digo lo mismo que el compañero: si al final actualizo mi certificado actual (que tendré que hacerlo con esta u otra empresa) lo comentaré por aquí también.

En estos casos el problema es que la autoridad certificadora necesita tener cierta fiabilidad para que pueda certificar de forma efectiva que eres quién dices ser.
Los sistemas de esta empresa son bastante sencillos, que no quiere decir que no sean suficientes, y esto puede ser que haya reducido la confianza de Microsoft, Mozilla, Oracle, etc.

Si no la reconocen como autoridad certificadora, no vendrán precargados en los almacenes de autoridad de sus softwares, y por lo tanto aunque te permitan firmar el código, al final aparecerá como un certificado de no-confianza. Algo similar a lo que sucede cuando firmas con el certificado de la FNMT.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

En estos casos el problema es que la autoridad certificadora necesita tener cierta fiabilidad para que pueda certificar de forma efectiva que eres quién dices ser.
Los sistemas de esta empresa son bastante sencillos, que no quiere decir que no sean suficientes, y esto puede ser que haya reducido la confianza de Microsoft, Mozilla, Oracle, etc.

Si no la reconocen como autoridad certificadora, no vendrán precargados en los almacenes de autoridad de sus softwares, y por lo tanto aunque te permitan firmar el código, al final aparecerá como un certificado de no-confianza. Algo similar a lo que sucede cuando firmas con el certificado de la FNMT.

Es una cosa a tener en cuenta, ciertamente. Hasta ahora, es decir, el certificado que adquirí hace un par de años (es que yo creo que hace ya más de dos años...) parece funcionar bien en Windows 10. La verdad es que no soy ningún experto en este asunto y me temo que hay varios tipos de certificados, certificadoras, etc. Personalmente, me basta conque mi software no aparezca como "desconocido", puesto que, en Windows 10, el usuario ha de hacer varios "clics" hasta poder ejecutar un programa "desconocido".

Con lo dicho es suficiente para mí, aunque, igual no sea el mejor certificado del mundo. Pero llevas razón, Nasca, y, lo que dices hay que tenerlo en cuenta sin duda. De nada valdría un certificado, por barato que fuese, si no cumple lo dicho. Tocará preguntar cuando llegue el caso. A las malas, si no funcionase, tal vez se podría abrir una disputa en PayPal, o bien pedir la devolución del dinero. El tema es que el certificado que hasta ahora vendían parece funcionar bien. ¿No bastaría esto ya para asegurar certificados válidos al menos en Windows 10? O sea, ¿cuándo dejarían de ser válidos estos certificados? ¿En Windows 11? Pero este ni siquiera se ha publicado...

[dec]

Hola a todos,

He buscado un poco y al cabo encontrado este artículo del blog de Microsoft, donde se comenta que, en efecto, van a dejar de soportar los certificados de la empresa de que hablamos:

Cita:

Microsoft has concluded that the Chinese Certificate Authorities (CAs) WoSign and StartCom have failed to maintain the standards required by our Trusted Root Program. Observed unacceptable security practices include back-dating SHA-1 certificates, mis-issuances of certificates, accidental certificate revocation, duplicate certificate serial numbers, and multiple CAB Forum Baseline Requirements (BR) violations.

Thus, Microsoft will begin the natural deprecation of WoSign and StartCom certificates by setting a “NotBefore” date of 26 September 2017. This means all existing certificates will continue to function until they self-expire. Windows 10 will not trust any new certificates from these CAs after September 2017.

Microsoft values the global Certificate Authority community and only makes these decisions after careful consideration as to what is best for the security of our users.

No me queda claro si esto sirve para la "firma de código", pero, bien pudiera ser. Apunto esto aquí, porque, todo indica que habrá que buscar alguna alternativa a StartCom, seguramente, más cara.

P.D. Buscando en Google, no obstante, parece que no será complicado encontrar algo con un precio similar: unos 70/80 euros anuales, que, tal vez sirvan para más, puesto que yo sigo usando un certificado de StartCom de similar precio, desde hace ya más de un año... incluso más de dos años... y es que no sé bien cómo funciona esto de los certificados, para qué engañar a nadie.

[dec]

Hola a todos,

La siguiente página web: https://www.sslpoint.com/eu/code-signing/ ofrece certificados "Comodo" por 69 euros anuales, pero, ojo: este precio es "for a 3 years certificate", que, debe ser algo parecido a lo que ofrecía StartCom, esto es, por eso mi certificado, que, tiene más de un año, puede seguir firmando los ejecutables sin problemas. No sé si esta web será de fiar o no, pero, entiendo que sí, y, su precio, es muy similar al de StartCom, cuando no mejor, puesto que creo que en StartCom hablamos de un certificado válido por dos años, y, en este caso son tres años.

[dec]

Hola a todos,

Confirmado: el certificado que adquirí en StartCom tiene una validad de dos años:



Es decir, que, los certificados de Comodo que ofrece https://www.sslpoint.com/eu/code-signing/, parecen estar aún mejor de precio, pues, aunque el de StartCom son 60 dólares USD y el de esta última son 70 euros, esta última ofrece certificados con tres años de validez. Si no es esta alternativa que digo, será otra similar: creo que hay otras que ofrecen estos certificados de Comodo a un precio similar: unos 70 euros, que, como digo, "sirven" para tres años firmando código.

[Nasca]

Me temo que para un certificado de 3 años tienes que multiplicar 69 * 3.
Lo que deja en 89 euros el certificado por 1 año de validez.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

Me temo que para un certificado de 3 años tienes que multiplicar 69 * 3.
Lo que deja en 89 euros el certificado por 1 año de validez.

Pues, yo diría que eso no es así. En primer lugar, el certificado que uso ahora mismo tiene una validez de dos años, pero, yo paqué el precio que se pide en StartCom, si no recuerdo mal. También, en la página que yo enlazo, pone que el certificado es válido para tres años. ¿En qué te basas tú para decir que eso no es así?



Ya... ya sé que pudiera ser que eso fuese el precio de oferta si se contratan tres años... llevas razón, también puede ser el caso. Pero, yo recuerdo pagar en StartCom por un certificado... y que este me va a durar dos años... de modo que no sé si estoy confundido, pero, creo que el certificado puede durar más de un año. Pero, lo cierto es que no estoy seguro: puedes llevar razón, ciertamente.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

Me temo que para un certificado de 3 años tienes que multiplicar 69 * 3.
Lo que deja en 89 euros el certificado por 1 año de validez.

Vas a llevar razón Nasca,... todo indica que el precio al que se refiere es al de un año, pero, al contrario que en StartCom, ahí no se especifica que el certificado pueda firmar código durante dos años: ciertamente en StartCom se especifica esto concretamente. No es el caso de la empresa alternativa que yo he enlazado arriba, donde parece que el precio se refiere a un año, o, al menos, no se indica otra cosa. Igual este es el precio al que debamos acostumbrarnos...