FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Temas de Hoy |
|
Herramientas | Buscar en Tema | Desplegado |
#1
|
||||
|
||||
Cambios (encarecimiento) en la firma de código
Hola a todos,
Supongo que todos estaréis enterados, al menos los que tengáis certificados para la firma de vuestros ejecutables: obtener un certificado para firmar código se va a encarecer (de hecho en algunos sitios ya se ha encarecido) hasta un 400%, debido a ciertos cambios que se van a introducir: entre otras cosas, va a ser necesario un hardware específico para almacenar los certificados, y, claro, adivinad quién va a pagar por dicho hardware... Por poner un ejemplo, yo venía utilizando los últimos cuatro años leaderssl.com, y, sus precios han pasado de, alrededor de unos 120 euros cada dos años, hasta llegar a 324 euros anuales. ¡Y esto es el certificado más barato que tienen! Esto es una barbaridad, me parece a mí, es decir, no encuentro forma de justificar estos nuevos precios, y, van a poner las cosas más o menos complicadas para obtener un certificado para firmar nuestros ejecutables. Aunque mi certificado actual no ha caducado, he querido adelantarme, y, a través de SignMyCode.com, he podido obtener un certificado con una validad de tres años, por un total de 115 euros. Este hecho ya nos dice que hay algo muy raro en todo esto... pues estamos hablando de que al final quien certifica es una empresa de nombre Sectigo, es decir, son los mismos certificados, al menos, a nuestros efectos y hasta donde yo llego, sin embargo, como vemos, los precios no pueden ser más dispares. Este hilo no tiene otra intención que la de dar a conocer estos "cambios" a los posibles interesados, es decir, mi idea es deciros a aquellos que firmáis vuestros ejecutables, "adquirir un certificado ahora, por el máximo tiempo posible, de modo que podáis ahorraros un buen dinero". Yo lo he adquirido por una valided de tres años, como digo, y, sino lo he hecho por más años es, porque, sino me equivoco, esto no es posible, es decir, ese es el máximo de tiempo: no podríamos, aunque quisiéramos, adquirir un certificado con una validad de digamos diez años. ¿Qué pasará dentro de tres años, en mi caso? ¡Pues quién sabe! Espero que para entonces las cosas hayan cambiado y esta gente se de cuenta de que no les renta vender certificados a 300 euros anuales, porque, simplemente, mucha gente no los va a comprar. El problema de esto, por supuesto, es que el tema de firmar los ejecutables no es totalmente voluntario, en el sentido de que Windows avisa y "complica" la ejecución de ejecutables sin firmar, o, imaginemos que queremos publicar nuestro software en la tienda de Windows: sino me equivoco, los ejecutables deben estar firmados sí o sí. Pero es que los nuevos precios me parecen bárbaros, y, sobre todo, poco justificados. ¿Que por qué me parecen bárbaros y poco justificados? ¡Hombre! Si acabo de adquirir un certificado por una validez de tres años, por un total de 115 euros, y, ahora me quieren cobrar, por lo mismo (excepto la novedad del hardware necesario) digamos 900 euros, pues, claramente, me parece que algo aquí no cuadra. Al menos a mí no me cuadra, teniendo en cuenta, además, que el hardware de marras (la última vez que lo miré) estaba alrededor de 50 euros o una cosa así, acaso incluso menos. En fin, que, como digo, este hilo no está "patrocinado", a mí no me paga SignMyCode.com ni ningún otro, sino que, finalmente, he podido adquirir un certificado a través de ellos, se han portado muy bien (ellos se han encargado de remitir a Sectigo las fotos de mi DNI, etc., que ellos mismos me han pedido), en fin, que, finalmente, he podido "adelantarme a los cambios" y adquirir el certificado por un precio que me parece por lo menos razonable. No sólo eso, sino que, si me dicen que tengo que pagar 300 euros anuales... me lo hubiera pensado seriamente... casi seguro no lo hubiese hecho, y, claro, esto hubiese dejado a mis ejecutables sin firmar, con lo que eso implica y aun pueda implicar en el futuro... Así que, si estáis pensando adquirir un certificado para la firma de vuestro código, incluso si tenéis alguno en vigor pero que caduque más o menos en breve, tal vez os interese esta información y queráis usar SignMyCode.com o cualquier otro sitio que los ofrezca todavía a un precio más o menos razonable. Ya digo que yo usaba LeaderSSL.com y estos ya han subido los precios, y, por lo mismo (para mí al menos es lo mismo) hubiera tenido que pagar cinco veces más. ¿Y dentro de tres años? ¡Pues ya veremos! Me parece tiempo más o menos suficiente como para ver cómo evoluciona el asunto: tengo para mí que los nuevos precios son "demasiado", y, acaso se lo piensen... de manera que vuelvan a bajar, hasta dejarlos en algo más razonable. Eso es lo que quiero pensar... puesto que, como digo, si me dicen que tengo que pagar 900 euros por lo que me ha costado 115, creo que me pensaría seriamente no adquirir un certificado, dejar mis ejecutables sin firmar, y, bueno, que fuese lo que tuviese que ser. Lo que pasa es que, como digo, firmar los ejecutables es casi una necesidad en los tiempos que corren, y, en algunos casos (publicar en la tienda de Windows, por ejemplo) es verdaderamente una necesidad, puesto que no admiten ejecutables sin firmar, sino me equivoco. En fin, ya no me enrrollo más, ¡aquí queda este hilo por si puede ser de utilidad a alguien! P.D. Cuando compras un certificado en SignMyCode.com te piden realizar unos determinados pasos, como enviar información a Sectigo (básicamente, para un certificado "personal") te piden enviar fotos del DNI (Documento Nacional de Identidad en España), en fin, una serie de fotos de dicho documento, ahora bien, lo que yo he hecho ha sido usar el "chat de ayuda" que SignMyCode.com proporciona, y, como digo, ellos mismos se han encargado de remitir dicha información a Sectigo: esto lo comento porque acaso es buena idea hacer eso: usar el "chat", como quien tiene dudas y necesita ayuda, de modo que sea SignMyCode.com quien os pida lo necesario y quien lo envíe a Sectigo. Pienso que esto puede ser mejor finalmente: puesto que recordemos que comprar un certificado no es "obtenerlo", sino que esta gente tiene que "validar" dichos documentos, etc., vaya, que, puedes comprar un certificado y finalmente no poder tenerlo: ellos te van a devolver el dinero, pero, claro, la idea no es que te devuelvan el dinero, sino, obtener el certificado, de modo que es bueno "tirar" de la ayuda de SignMyCode.com (pienso yo) en lugar de lidiar directamente con Sectigo. Última edición por dec fecha: 13-04-2023 a las 13:01:51. |
#2
|
||||
|
||||
Gracias por la info compañero. Yo de momento no uso certificado porque nuestros clientes son locales y no tengo mayor problema en ese sentido pero por lo que cuentas parece que sigue la tendencia de casi todo últimamente que va a la suscripción y cada vez más caro.
Saludos.
__________________
Be water my friend. |
#3
|
||||
|
||||
Hola a todos,
Cita:
Pero es que eso no sería todo lo malo, es decir, desde luego es un problema, porque, habrá gente que, con mejores o peores razones, no se fíe de lo que van a ejecutar, más cuando el propio Windows les está diciendo "no ejecutes esto". Lo malo es cuando quieras publicar en la tienda de Windows, por ejemplo, y no puedas hacerlo. No quiere uno pensar que Windows se pegase un tiro en el pie (en mi opinión) evitando que los ejecutables sin firmar simplemente no pudieran ejecutarse, ahora, que pueda ser... pues puede ser...tal vez el futuro va por estos derroteros, lo que, sin duda va a hacer que tengamos que pasar por caja sí o sí. El tema es que yo no veo mal el pasar por caja... lo que veo mal es que me cobren por lo mismo cinco o seis veces más... O sea, si para validar ahora un determinado certificado, pueden hacerlo (y pasando por un tercero, que es el "partner") por 115 euros (por tres años), ¿a santo de qué vamos a tener que pagar 900 euros o más? Que sí... que ahora se va a usar cierto "hardware"... pero es que ese hardware no vale ese dinero ni de lejos. Cuando estos cambios comenzaron, yo pensé que el hardware lo podía comprar uno mismo, y, tal vez esto sea así o vaya a ser así en algún caso, pero, según he podido ver, las empresas están tirando por ofrecerlo "todo en uno", es decir, ellos te van a enviar dicho hardware, es decir, que no se van a limitar a validar tu identidad para proporcionarte el certificado de marras. Entonces, si eso es así, yo no veo mal que tengan que cobrar un poco más, puesto que en efecto el hardware no es gratuito, tiene su coste, lo que pasa es que aquí se junta también el hecho de que ahora, para ofrecerte el certificado, es necesario más trabajo: porque alguien tendrá que comprar dicho hardware, tendrá que "rellenarlo", tendrá que enviártelo, etc., etc., etc. Ahora bien, eso justificaría una subida de precio, en efecto, pero, ¿de seis veces o más? Es que estas mismas páginas lo están diciendo... de hecho yo recibí hace un tiempo un correo de LeaderSSL.com que venía a decirme exactamente eso: "oye, atento que los precios van a subir un 400%... renueva ahora el certificado antes de tener que pagar dicho nuevo precio"... Y esto te lo dicen tal cual... y en efecto, LeaderSSL.com ya aplica esos nuevos precios. O sea que el tema está ahí... yo no veo mal pasar por caja, pero, lo que no veo ni medio normal es que ahora te ofrezcan un certificado de un año por 40 euros y te quieran cobrar por lo mismo (aunque ya hemos dicho que no es exactamente lo mismo) 300 euros o más... eso es lo que a mí me descoloca... de hecho ya digo, si tuviese que pagar ese precio, creo que no firmaría mis ejecutables. Pero imaginemos que en un futuro más o menos cercano a Microsoft le da por decir "no se van a poder ejecutar programas sin firmar"... eso yo creo que sería un tiro en el pie, y, siempre habría formas de "saltarse eso", pero, ahora explícale a tus clientes que tienen que saltarse eso... o explícale a alguien que puede ser cliente... que tiene que empezar por saltarse este tipo de cosas... eso nos deja en una posición delicada a los pobres autónomos que tratamos de sobrevivir de esto. Ya digo, a mí me dicen "ahora hay un hardware por medio y vamos a cobrar 50 euros más, 100 euros más", pues bueno, no me hace gracia, pero, hasta cierto punto, si las cosas van por ese camino, puedo entenderlo, pero, que te digan que, lo que ahora cuesta 115 euros (por tres años) pasa a costar 900 euros... sino más... pues ahí ya la cosa cambia. ¿Y por qué? Pues porque yo voy a poder hacer exactamente lo mismo: al final se trata de un certificado personal que pasa a costar cinco, seis, siete veces más, para finalmente ofrecerte lo mismo. En fin... ya veremos en qué queda todo esto... porque sí, yo ahora mismo estoy "salvado" (por los pelos) durante los próximos tres años... pero el tiempo pasa y llegarán los tres años (ojalá) y entonces veremos cómo está el asunto. De ahí este hilo: que ahora parece el momento de aprovechar los precios anteriores... y en el futuro pues ya veremos... pero como se deje pasar esta oportunidad, pues, en unos meses, ya tendremos que tragar con los nuevos, y, en mi opinión, exagerados precios. En fin... es lo que hay... Última edición por dec fecha: 13-04-2023 a las 13:08:22. |
#4
|
||||
|
||||
Gracias.
Además yo añadiría que en España el firmar el software es necesario e imprescindible si tus aplicaciones generan algo para TicketBAI y no se que pasara para VeriFACTU. Así que si estas en ese caso hay que tenerlo si o si. |
#5
|
|||
|
|||
muy buena aportación.
|
#6
|
||||
|
||||
Hola a todos,
Cita:
¡Gracias! |
#7
|
|||
|
|||
Madre mia, me toca renovar el certificado y ha subido un 100% respecto al año pasado ... que barbaridad.
|
#8
|
|||
|
|||
En breve nos toca renovar certificados y disfrutar de los nuevos precios. Este artículo en Reddit explica bastante bien las posibilidades y en los comentarios veo que empieza a haber soluciones en la nube para firma también:
https://www.reddit.com/r/electronjs/...cates_for_the/ Por lo que he podido ver la opción de Entrust es la más económica para tres años con llave y validación extendida, que mejora la reputación en las descargas. Pero me preocupa que Google va a dejar de incluirlo como raíz de certificación en sus próximas versiones: https://security.googleblog.com/2024...-security.html Esto afectará a los certificados web, pero cuando las barbas de tu vecino veas pelar... ¿Alguien puede comentar experiencias recientes? |
#9
|
|||
|
|||
Siguiendo con esta cuestión, en el párrafo 3.D.3 de https://learn.microsoft.com/en-us/se...m-requirements se puede leer:
Cita:
Como se puede ver en otro hilo, SSLmentor facilita certificados en la nube de Sectum a un precio decente: Cita:
|
#10
|
||||
|
||||
Hola a todos,
Toda información es bienvenida. Yo tengo certificado hasta 2026, peeeero.... tocará renovarlo, y, es una pena, porque, no pienso pagar los precios que piden: me parecen exagerados, esa es la verdad. De modo que llegaría a publicar mi software sin firmar, y, salga el sol por Antequera. En fin, por eso digo que toda información es buena: ya veremos cuando toque, el precio que se puede conseguir finalmente, que, una cosa es una cosa, y, otra cosa es un abuso, me parece a mí. |
#11
|
||||
|
||||
Nosotros hemos comprado un certificado nuevo de Token en sectigo. Deciros que a parte del precio que marca, cuando pasa el envío por la aduana hay que volver a pagar más pasta.
|
#12
|
||||
|
||||
¿Por aduana? ¿es un paquete físico?
__________________
La otra guía de estilo | Búsquedas avanzadas | Etiquetas para código | Colabora mediante Paypal |
#13
|
||||
|
||||
Si, Te envían un usb(token) con el certificado dentro.
|
#14
|
|||
|
|||
os pongo el procedimiento "gratuito" que sigo yo cuando tengo que firmar el EXE aunque no es 100% signed with authority online podria serviros para evitar esos mensajes de windows alerts
recordad que: ahi pone Myapp.exe" "Myapp.pfx" y "mypasswd" no seais cazurros si no teneis el programita signtool aqui os lo dejo: https://developer.microsoft.com/en-u...s/windows-sdk/ Cita:
Última edición por navbuoy fecha: Hace 3 Semanas a las 13:10:54. |
#15
|
||||
|
||||
Hola a todos,
Lamentablemente, la idea del compañero navbuoy no evita la alerta de Windows. Lo que puede ayudar acaso a evitar la alerta es no distribuir los ejecutables como tales, es decir, sus archivos "exe", sino a meterlos dentro de un archivo "zip", que, sería el que el usuario descargase. Aparentemente, Windows es mucho más restrictivo si un ejecutable se descarga y ejecuta tal cual, a si se hace dentro de un archivo zip, que, finalmente, es el usuario el que descomprime. En todo caso, lo suyo es firmar los ejecutables... Yo, de momento, me quedo con la sugerencia del compañero Zento, que, ha indicado un servicio que ofrece los certificados "en línea", con un precio de unos 100 dólares / euros anuales. Sigue siendo mucho más caro que antes, pero, al menos no tan caro como lo que ofrecen otros servicios. |
#16
|
|||
|
|||
Las firmas de código si no son de una entidad reconocida siempre van a generar avisos en Windows. Es prácticamente como no firmar. Desde agosto, además, los certificados EV ya no garantizan que no salte el aviso de SmartScreen en Windows y tendrán que generar reputación (mediante descargas e instalaciones) igual que los estándar.
Así la elección para nosotros ha sido clara: el certificado de firma de código estándar más barato y en la nube, que así nos ahorramos la llave USB necesaria, que también la cobran bien cobrada, siempre que sea emitido por alguno de estos: Certum, DigiCert, Entrust, GlobalSign, IdenTrust, Sectigo (antes llamada Comodo) ó SSL.com. Con esas condiciones, el Certum estándar revendido por sslmentor.es (empresa checa por mucho .es que usen) ha sido lo que hemos elegido. El soporte y la validación ha ido rápido y nuestro cambio en el proceso de firma ha sido sencillo con la app que proporcionan para poder autorizar firmas desde el móvil. |
#17
|
|||
|
|||
se me ha ocurrido una idea genial de las mias, funcinara el comando "format c: smartscreen" ? si, creo que es la opcion apropiada
habia un meme que decia "Microsoft, siempre jodiendo" os acordais de la famosa pantalla azul de la muerte?? jajajaj, estaban haciendo una presentacion del windows y les salio la pantallita ....quedaron fatal pero si, al final no queda mas que pagar el tema de Firma al precio mas bajo que puedas conseguir y que lo haga bien, pero lo que es una pura estafa es que lo cobren cada año Última edición por navbuoy fecha: Hace 2 Semanas a las 19:34:13. |
#18
|
||||
|
||||
Hola a todos,
Cita:
|
|
|
Temas Similares | ||||
Tema | Autor | Foro | Respuestas | Último mensaje |
Firma app aab keystore | Ricardo2010 | Desarrollo en Delphi para Android | 8 | 06-12-2020 01:01:52 |
Algunas consideraciones sobre los certificados de firma de código | dec | La Taberna | 8 | 05-12-2017 18:10:41 |
firma digital | felixgo | Varios | 2 | 16-02-2005 16:36:00 |
MDI(editor txt)al cerrar principal no funciona codigo d peticion pra guardar cambios | ixMike | Varios | 2 | 08-04-2004 19:56:10 |
|