Conseguir un certificado digital para firmar código

[miado]

Nada, después de firmar los ejecutables e instalador correctamente, veo que el navegador Chrome al bajar alguno de mi web indica que es un fichero que no se descarga habitualmente y lo marca como peligroso, cuando está analizado y verificado que no contiene virus ni nada por el estilo y una vez que puedes marcar la opción de guardar al ejecutarlo en Windows 10 lo bloquea igualmente y tienes que pulsar en "mas información" para poder ejecutarlo, esto ya es algo preocupante pues muchos clientes no ven esa opción.
Lo hábeis solucionado alguno de alguna manera?
Qué se puede hacer ante esto?

[dec]

Hola,

Yo creo que nuestro trabajo termina en firmar nuestros programas. Por ejemplo, yo no he notado lo que mencionas porque no uso el navegador Chrome. No creo que podamos tener en cuenta cada uno de los posibles programas y de sus posibles configuraciones. A mí, personalmente, me preocupaban los mensajes de advertencia del propio Windows, y, estos ya no aparecen una vez firmado un programa. Mejor dicho (y esto sirve para mi argumento) los mensajes de advertencia siguen apareciendo, pero, ya no incluyen iconos "warning" sino "information".

Esto quiere decir que otros programas como navegadores o antivirus, dependiendo de su configuración además, podrán informar al usuario sobre los peligros de poner en marcha un programa ejecutable. Sin abusar, creo que esto no está mal, puesto que, en efecto, entraña cierto peligro. Pero espero que el usuario que sepa lo que ha descargado, y, que vea que el programa está firmado por quien se supone que tiene que estarlo. A partir de ahí el usuario debe poder elegir qué hacer. Pero nosotros ya hemos hecho lo que podíamos para facilitárselo.

P.D. Voy a abrir Chrome y ver qué pasa cuando descargue uno de mis programas. A ver qué pasa.

[dec]

Hola,

Después de probar con Google Chrome, tengo que decir que a mí no me sucede lo que al compañero, aunque, pareciera que Google no sólo descarga el archivo, sino que lo envía a sus servidores y comprueba no sé qué antes de dejarte hacerte con el control de dicho archivo.

En fin, una posible solución pudiera ser no ofrecer archivos executables a los usuarios. En mi caso lo que he descargado es un archivo Zip, que, a su vez contiene el archivo ejecutable del programa en cuestión. Creo que esto puede ser una posible solución al problema que plantea miado.

[Casimiro Notevi]

Cita:

Empezado por miado

Nada, después de firmar los ejecutables e instalador correctamente, veo que el navegador Chrome al bajar alguno de mi web indica que es un fichero que no se descarga habitualmente y lo marca como peligroso

Estas cosas creo que no debe controlarlas tú, en este caso. No puedes saber qué navegador usará la gente, chrome, firefox, opera, etc. o alguno nuevo que pueda surgir mañana.

[dec]

Hola,

Cita:

Empezado por Casimiro Notevi

Estas cosas creo que no debe controlarlas tú, en este caso. No puedes saber qué navegador usará la gente, chrome, firefox, opera, etc. o alguno nuevo que pueda surgir mañana.

Eso es lo que quería yo decir. Por otro lado, tengamos en cuenta que los archivos Zip no son tratados de igual forma que los archivos Exe. Pareciera que con los primeros los programas del tipo del navegador Chrome son más permisivos: al fin y al cabo es el usuario quien después descomprimirá el archivo Zip.

Dicho eso, volvemos al principio: ¿qué pasa si el compresor/descompresor de archivos Zip que usa el usuario le avisa de que el archivo Zip contiene un ejecutable y que esto pude causar daños a su equipo y bla, bla, bla? Sobre esto poco podemos hacer nosotros.

[Casimiro Notevi]

Cita:

Empezado por dec

...

Claro, estoy de acuerdo

[Nasca]

Antes de nada gracias a dec por ampliar su experiencia. Es una estupenda guía para obtener el certificado con StartSSL.
Finalmente he decidido evitarles los sustos que le da a los usuarios firmar con el certificado de la FNMT.

He realizado el procedimiento con www.startssl.com.
Añado alguna información que puede ser de utilidad a otro que se lance con ellos.

Tienen una opción de verificación postal alternativa a la telefónica. Yo tenía un pequeño lío con las direcciones y al final este método me ha resuelto el problema y me ha evitado balbucear mi pésimo inglés. Como curiosidad, la verificación postal se realiza desde Israel, creo que la empresa también es de Israel.

Son muy accesibles, no son máquinas insensible. Son personas las que te atienden y se nota que están por ayudar.
Yo he cruzado numerosos correos con ellos, rozando a veces el límite cansino, y son rápidos y razonables.

Respecto a la validez de los certificados:

Cita:

Class 2 certificates are valid for two years, and class 2 validations are valid for 350 days. During this period you can create as many certificates at this level as you want and those certificates will be valid for two years. Hope this clarify the things.

O sea que es conveniente que antes del vencimiento de la verificación (350 días) saquemos otro nuevo certificado, por lo que de alguna manera tendríamos cubiertos casi tres años.

Ahora a seguir con la fase de crear los certificados, si encuentro algo nuevo que aportar en el procedimiento, lo añado luego.

[dec]

Hola,

Cita:

Empezado por Nasca

Antes de nada gracias a dec por ampliar su experiencia. Es una estupenda guía para obtener el certificado con StartSSL.

¡Gracias a vosotros! Si no hubiese abierto este hilo estaría sin certificado todavía.

Cita:

Empezado por Nasca

He realizado el procedimiento con www.startssl.com.
Añado alguna información que puede ser de utilidad a otro que se lance con ellos.

Tienen una opción de verificación postal alternativa a la telefónica. Yo tenía un pequeño lío con las direcciones y al final este método me ha resuelto el problema y me ha evitado balbucear mi pésimo inglés. Como curiosidad, la verificación postal se realiza desde Israel, creo que la empresa también es de Israel.

Sí; la empresa debe estar en Israel, puesto que recuerdo que me llamaron desde Estados Unidos. Está bien que digas que puede hacerse por correo postal, puesto que nunca se sabe... ahora tengo una línea de teléfono, pero, mañana tal vez no disponga de ella.

Cita:

Empezado por Nasca

Son muy accesibles, no son máquinas insensible. Son personas las que te atienden y se nota que están por ayudar.
Yo he cruzado numerosos correos con ellos, rozando a veces el límite cansino, y son rápidos y razonables.

Justo lo contrario (creo que lo he comentado) que la gente de Comodo. Al menos en mi experiencia, ya sabréis a qué me refiero: parece que estás hablando sólo o con una máquina, puesto que obtienes respuestas "predeterminadas" digas tú lo que digas... no culpo a la gente que trabaja ahí, claro está.

Cita:

Empezado por Nasca

Respecto a la validez de los certificados:

O sea que es conveniente que antes del vencimiento de la verificación (350 días) saquemos otro nuevo certificado, por lo que de alguna manera tendríamos cubiertos casi tres años.

Lo que yo he entendido es que los certificados duran ya un par de años, aunque no estoy muy seguro de esto. Lo que sí me queda más o menos claro es que esta empresa no cobra por los certificados, sino por el proceso de validación, de modo que, lo que habrá que hacer en un año, será volver a "autenticarse" con ellos y pagar la minuta por ello.

Cita:

Empezado por Nasca

Ahora a seguir con la fase de crear los certificados, si encuentro algo nuevo que aportar en el procedimiento, lo añado luego.

A mí me costó un poco al principio, pero, una vez hecho, el asunto se reduce a usar algún archivo BAT, y, si usamos Inno Setup, configurarlo para que firme los instaladores y desinstaladores. En fin, yo de momento estoy contento con el resultado.

[dec]

Hola a todos,

¡Esto es un no parar! Recibo un mensaje sobre la última actualización de Inno Setup indicando que ya viene preparado para la "doble firma" y con el enlace a un artículo donde se dice que Microsoft ya no soportará más el algoritmo SHA1. Así que ahora tenemos que usar SHA2 o hacer lo mismo que Inno Setup hace, firmándose tanto con SHA1 como con SHA2.

El caso es que ayer quise conseguir un nuevo certificado en StartSSL que viniese ya con SHA2. Primero tuve que revocar el certificado anterior y esto ha tardado un día en llevarse a cabo, aunque sin ningún otro coste. Pero resulta que, aunque seguí los pasos que se indican en este artículo y traté de usar SHA2 en OpenSSL, el asunto no ha funcionado.

Mi certificado sigue siendo SHA1, o sea, que he hecho un pan como unas tortas, como suele decirse. Así que me he puesto en contacto con StartSSL (les he enviado un formulario y parece ser que contactarán conmigo) preguntándoles cómo puedo crear un certificado que incorpore SHA2 en lugar de SHA1. Y ya veremos a ver qué me responden...