Conseguir un certificado digital para firmar código

[Nasca]

Lo cierto es que es una buena opción siendo de aquí.

Voy a adquirirlo y os cuento.

[Nasca]

Cita:

Empezado por Nasca

Lo cierto es que es una buena opción siendo de aquí.
Voy a adquirirlo y os cuento.

Al final sale por 108 por 1 año.
Y no me fío, la verificación está asociada a un dominio. No termino de entender la relación entre la verificación de la identidad y el registro de un dominio.

Me parece que por ahora no voy a adquirir esta opción.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

Al final sale por 108 por 1 año.
Y no me fío, la verificación está asociada a un dominio. No termino de entender la relación entre la verificación de la identidad y el registro de un dominio.

Me parece que por ahora no voy a adquirir esta opción.

Gracias por tu ayuda Nasca. Ciertamente, es algo en lo que no había pensado: StartCom verificaba llamando por teléfono, entre otras cosas. Lo de verificar mediante el registro de un dominio tampoco lo veo yo muy claro, puesto que, registrar un dominio no está verificado en sí mismo que yo sepa... por otro lado, si ellos proporcionan el certificado validado así... tal vez Microsoft o alguien se quejase, pero, hasta dicha queja tal vez el certificado fuese válido. De todas formas, parece que al final sale más caro de lo que anuncian: eso mismo ya no está bien.

Tengo yo que ponerme a ello también cuando tenga un poco de tiempo... el precio debería rondar los 70 euros, y, la forma de verificación, recuerdo que varía: en una que intenté antes de StartCom te pedían que tu número de teléfono y tu nombre estuviesen listado en las guías telefónicas (cosa que se consigue siendo el titular de la línea, ojo), y, algún recibo de la luz o suministro similar a tu nombre. No sé si lo del teléfono también te lo pedían porque fueran a llamarte, tal como lo hacía StartCom.

Lo de la verificación del dominio no lo veo Nasca: habrá que seguir buscando...

[miado]

La verdad es que como dice el compañero para que salga mas económico hay que contratar dos o mas años.
Acabo de hablar con una empresa SSL247 que es Española y le he comentado que somos varios desarrolladores que estamos interesados en un certificado para firmar código. Me van a enviar documentación, cuando la tenga os la facilito.
saludos

[dec]

Hola a todos,

Cita:

Empezado por miado

La verdad es que como dice el compañero para que salga mas económico hay que contratar dos o mas años.
Acabo de hablar con una empresa SSL247 que es Española y le he comentado que somos varios desarrolladores que estamos interesados en un certificado para firmar código. Me van a enviar documentación, cuando la tenga os la facilito.
saludos

Gracias por la ayuda.

Yo he encontrado la empresa que iba a utilizar (es decir, la que encontré tras largas búsquedas como más interesante) antes de decidirme por StartCom: http://codesigning.ksoftware.net/

Los precios varían en función de los años: desde 70 euros por un año hasta 57 por cuatro años. Recuerdo que también me decidí por StartCom por su facilidad en su verificación: hay que revisar muy bien, por ejemplo, en esta última empresa que enlazo, qué es exactamente lo que necesitan para verificar nuestra identidad. En todo caso, al menos pagando con PayPal, no habría problema en la devolución del dinero si por cualquier motivo no podemos al cabo verificar nuestra identidad y por tanto obtener el certificado.

Espero a ver si el compañero miado consigue algo, pero, parece que alrededor de 70 euros (contratando por un año) es el precio que se estila ahora mismo.

[Nasca]

Cita:

Empezado por dec

Hola a todos,



Gracias por la ayuda.

Yo he encontrado la empresa que iba a utilizar (es decir, la que encontré tras largas búsquedas como más interesante) antes de decidirme por StartCom: http://codesigning.ksoftware.net/

Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

Estoy curioseando en los almacenes de autoridades certificadoras (CA) de varias versiones de Windows.

StartCom parece que caduca el 17/09/2036. Y está en Windows 7, 10 y XP como CA.
Por lo que parece que a pesar de que esté caducado el certificado con el que se firma, el programa en teoría se puede seguir firmando y Windows lo reconocerá como correcto.
De todas formas no tengo claro que la nota de StartCom sea aplicable a los certificados de firma de código. Se lo he preguntado, si responden aviso.

Parece que GoDaddy también está como CA: https://es.godaddy.com/web-security/...ng-certificate
Aunque sale algo caro hay que tener presente que no es para identificadores personales, es para identificadores de organizaciones:
https://es.godaddy.com/help/verifica...cado-ssl-12127

Para este caso creo que los de Starcom siguen siendo válidos y son bastante más baratos.

Pero, ¿qué pasa pues con el artículo que enlacé más arriba del blog de Microsoft?

Cita:

Microsoft has concluded that the Chinese Certificate Authorities (CAs) WoSign and StartCom have failed to maintain the standards required by our Trusted Root Program. Observed unacceptable security practices include back-dating SHA-1 certificates, mis-issuances of certificates, accidental certificate revocation, duplicate certificate serial numbers, and multiple CAB Forum Baseline Requirements (BR) violations.

Thus, Microsoft will begin the natural deprecation of WoSign and StartCom certificates by setting a “NotBefore” date of 26 September 2017. This means all existing certificates will continue to function until they self-expire. Windows 10 will not trust any new certificates from these CAs after September 2017.

Microsoft values the global Certificate Authority community and only makes these decisions after careful consideration as to what is best for the security of our users.

Yo, desde luego, sigo firmando con mi certificado actual (comprado hace casi 2 años en StartCom) y todo parece ir bien, pero, claro, estamos planteando la posible compra de otro certificado, o, de la renovación de uno caducado. No sé yo... no me queda claro el asunto. Recuerdo que tú iniciaste el tema de nuevo a partir de una nota de StartCom (si no me equivoco), pero, ¿y lo del artículo de Microsoft arriba citado?

Cita:

Empezado por Nasca

Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

Bien visto eso.

[Nasca]

Respuesta de StartCom:

Thank you for your message. Certificates issued from Startcom roots after 26/9/2017 are not valid on any platform. (including Code signing certificates)

Me parece que me voy a arriesgar a seguir firmando igualmente con el certificado caducado (caduca el 14/12/2017). No debería dar problemas para autentificar identidad y evitar las modificaciones del ejecutable por posibles virus.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

O sea... que ya lo habías comentado tú Nasca...

[Nasca]

Estoy curioseando en los almacenes de autoridades certificadoras (CA) de varias versiones de Windows.

StartCom parece que caduca el 17/09/2036. Y está en Windows 7, 10 y XP como CA.
Por lo que parece que a pesar de que esté caducado el certificado con el que se firma, el programa en teoría se puede seguir firmando y Windows lo reconocerá como correcto.
De todas formas no tengo claro que la nota de StartCom sea aplicable a los certificados de firma de código. Se lo he preguntado, si responden aviso.

Parece que GoDaddy también está como CA: https://es.godaddy.com/web-security/...ng-certificate
Aunque sale algo caro hay que tener presente que no es para identificadores personales, es para identificadores de organizaciones:
https://es.godaddy.com/help/verifica...cado-ssl-12127

Para este caso creo que los de Starcom siguen siendo válidos y son bastante más baratos.