Hola,

Me gustaría que alguien con experiencia me puede echar una mano. El caso es que, cada día más, aparece más necesario firmar nuestros programas. Por ejemplo, en Windows 10, al tratar de instalar un programa sin firmar, Windows avisa al usuario con un cuadro de diálogo que más o menos reza "No ejecutes este programa, se desconoce el editor".

Claro que Windows da al usuario la oportunidad de "Ejecutar de todas formas", pero, tal vez no pocos usuarios se quedarán en dicha ventana de advertencia, por no hablar de otras ventajas asociadas a la firma de nuestros ejecutables, como pueda ser la posibilidad de demostra que dichos ejecutables no se han visto alterados, que son originales.

Ahora bien, conseguir un certificado digital no es sencillo, al menos no para una persona física. Hace dos años bastaba con enviar una serie de documentos por correo electrónico: tu documento nacioanl de identidad, carnet de conducir, alguna factura de servicios como luz, telefonía fija (no móvil) y, sobre todo, era menester que nuestro teléfono apareciese en "la guía de teléfonos".

El problema es que actualmente, además de lo dicho, tienes que enviar cierto documento (aquí un ejemplo para los interesados (https://support.comodo.com/index.php?/Knowledgebase/Article/View/953/0/face-to-face-for-ov-and-code-signing)), que, a su vez, ha de estar rellenado por un "abogado o notario". Pues bien, he ido a un abogado y me han dicho que ellos no pueden (ni sabían inglés, ni se han molestado en leer completamente el documento en cuestión) y que tiene que ser un notario.

Así que he ido a un notario, y, empezando porque me ha dicho que "siempre íbamos tarde" (cierran a las dos, eran las doce y media, yo no sabía nada, ni que estuviesen ocupados ni que no lo estuviesen) y que tendría que enterarme mejor de lo que tenía que hacer, además de que habría que traducir al español el documento arriba enlazado...

Así que, para mi desgracia, no he podido completar el paso del notario o abogado (no voy a perder más el tiempo con abogados que no saben leer un documento de tres líneas concretas y específicas en inglés, ni tampoco voy a permitir que me ninguneen en notario alguno, por muy notario que sea) y así me tendrán que devolver el dinero pagado (espero) y me quedaré sin certificado...

Ahora bien, la cuestión es, ¿alguien en España, recientemente, ha adquirido un certificado digital para firmar sus programas? ¿Dónde? ¿Cómo? ¿Con abogado de por medio? ¿Y qué le dijo? ¿O era un notario? ¿Y cuánto le costó? En fin, a ver si algún compañero puede echarme una mano, aunque, mucho me temo que mis programas serán "desconocidos" por mucho tiempo...

¡Gracias de antemano!

... otras ventajas asociadas a la firma de nuestros ejecutables, como pueda ser la posibilidad de demostra que dichos ejecutables no se han visto alterados, que son originales.
Hola, hace tres o cuatro años, donde trabajaba antes, iniciaron el proceso para conseguir ese certificado para el software que hacíamos allí. Tras varios quebraderos de cabeza, finalmente, lo dejaron porque lo único que certificaba es que habías pagado, no servía para nada más, salvo para que no saliese el dichoso mensaje. No había ningún tipo de control de ejecutables alterados ni nada técnico. No sé si eso seguirá igual.

Hola,

Gracias por contestar Casimiro. Acaso una empresa lo tenga más "fácil", pues bastaría con enviar el "DUNS" o número de registro aquí en España... Lo cierto es que firmar un ejecutable sirve para averiguar si se alteró o no, puesto que, en el momento en que así fuese, el nombre del firmante ya no aparecería al ejecutar dicho programa.

Esto es bastante antiguo (desde Windows XP SP2) pero las cosas se ponen cada vez más feas. Windows ya no advierte, pero, casi que indica al usuario que no debe ejecutar un determinado ejecutable. El usuario puede (de momento) seguir adelante, pero, lo cierto es que no sabemos cuántos se echarán atrás.

Ahora bien, yo creo que el proceso debería ser más sencillo, en el sentido de que ignoro si esta gente sabe, por ejemplo, que en España, muchos abogados (o asistentes) no hablan inglés, muchos notarios se enfadan si "llegas tarde" (pero dentro de la hora) y ninguno de ellos se ha visto en otra igual antes ni muestra alguna empatía.

¡Este es el país de las batuecas y del vuelva usted mañana! Esa es la sensación que me queda. Equivocada en lo general, pero, válida en lo particular.

Y luego está "esta gente", es decir, la empresa certificadora, que parecen robots. Ya puedes enviar cuatro o cinco correos diciendo esto y lo otro y lo demás allá que parece que te responde una máquina con el "paso a seguir". Y de ahí no se salen, ya te puedes poner como te pongas.

En fin, de veras que quisiera conseguir un certificado (de hecho he pagado por el mismo) pero lo que no voy a hacer es gastarme más en un notario que lo que cueste el certificado, suponiendo, claro está, que encuentre un notario accesible, que entienda de qué va esto (sea menor de 70 años) y me dé una solución, previo pago.

Sí, en cuanto a trabas administrativas y burrocráticas somos los campeones del mundo, sin duda.

Hola,
y porqué no lo firmas con tu DNI-e ?

No sé si será posible, en principio puedes firmar cualquier documento.

Un saludo

Hola,

Gracias por contestar. El DNI-e no se menciona en ninguna empresa certificadora (hay que pensar que estas son foráneas). El DNI sí está implicado porque este puede ser un documento válido. Sin embargo, el problema está en que el proceso ha de pasar (actualmente, al menos) por un abogado o notario para que éste dé el "visto bueno" y envíe un FAX a la certificadora conforme ha comprobado los datos y verificado que yo soy yo...

Es este proceso el que no parece sencillo, teniendo en cuenta lo dicho en mi primer mensaje: el abogado con el que he consultado me ha mandado a un notario, y, el notario me ha dicho que me informase mejor (todo está bien claro en el papel presentado) y que, para empezar, habría que traducir el documento, en fin, no hemos llegado a hablar de su minuta, pero, tal vez costase más el notario que el propio certificado.

Lo intentaría con otro abogado, pero, me temo que vuelva a mandarme a un notario: en mi ciudad/dormitorio no hay muchos notarios que digamos, ya he probado con uno, y, no tengo confianza en que fuese a funcionar en otro. Es que tengo la sensación de que casi me tendría que tocar la lotería para encontrar a algún notario que supiese del tema. Así que, de momento, he pedido que me devuelvan el dinero del certificado, que no es lo que yo quería, pero, a ver qué voy a hacer sino.

Yo he optado por firmar los ejecutables con el certificado de la FNMT.

Lo cierto es que Internet Explorer da la lata y avisa de forma escandalosa a los usuarios. Si no estuviese firmado no les diría gran cosa pero por ir firmado por una autoridad de certificación no reconocida los asusta.

En Windows el aviso depende de que esté configurado el certificado de la autoridad (FNMT) correctamente.

Para explicarlo mejor casi he preferido hacer una entrada en mi web. Así ves los pantallazos que he puesto y lo reutilizo con los clientes:

https://criterium.es/article/errores-por-firma-ejecutables-con-certificado-fnmt

Evidentemente este sistema me vale porque solo vendo en España y mayormente a gente que toca temas fiscales. En software como el tuyo lo mismo se queda corto.

Hola Nasca,

Gracias por responder. Suena muy interesante eso de usar el certificado de la FNTM, pero, ¿cómo se consigue dicho certificado? ¿Puede conseguirlo un individuo o tiene que ser una empresa?

Puedes conseguirlo en la página Ceres (https://www.sede.fnmt.gob.es/certificados) (Certificación Española) de la propia página de la FNMT

Un saludo

Hola,

Puedes conseguirlo en la página Ceres (https://www.sede.fnmt.gob.es/certificados) (Certificación Española) de la propia página de la FNMT

Un saludo

Gracias ElKurgan. Echaré un vistazo.

Como verás es también para personas físicas.
Es el mismo certificado que se usa para presentar rentas, ver datos en Seguridad Social, etc.

Como persona física lo consigues en una mañana yendo a un ayuntamiento con el DNI.

Hola,

Como verás es también para personas físicas.
Es el mismo certificado que se usa para presentar rentas, ver datos en Seguridad Social, etc.

Como persona física lo consigues en una mañana yendo a un ayuntamiento con el DNI.

Estoy considerando el asunto, aunque, no me queda claro si esto elimina las advertencias de Windows: parece que no, ¿verdad? Puesto que esto sería así si el certificado fuese expedido por alguien "reconocido", o sea, por alguna de las empresas que los proporcionan. Sea como sea la idea es interesante Nasca.

Estoy considerando el asunto, aunque, no me queda claro si esto elimina las advertencias de Windows: parece que no, ¿verdad? Puesto que esto sería así si el certificado fuese expedido por alguien "reconocido", o sea, por alguna de las empresas que los proporcionan.

Efectivamente.
Eso te devuelve al punto de partida y a los trámites y coste de tener un certificado de Comodo y empresas de ese tipo que ya tienen el certificado raíz instalados en Windows.
A pesar de los avisos, debido al mercado geográfico y profesional a qué están destinados mis programas, me compensa por las ventajas explicadas en la entrada indicada. Me da garantías a mí y al usuario final.
Cada caso es diferente.

Hola Nasca,

Bueno, desde luego serviría para garantizar (lo que se pueda) que el ejecutable no ha sido modificado. Está bien, Nasca, aunque, como dices, en mi caso particular debería optar por un certificado que ya estuviese disponible en el sistema operativo. El problema es el proceso de verificación de la identidad: si esto ha de hacerse por medio de un notario ya he explicado mis frustraciones más arriba.

Estoy tratando de encontrar alguna forma de hacerlo sin necesidad de pasar por ese trámite, pero, resulta que hay pocas empresas que se dediquen a este asunto. Hay muchos "revendedores", pero, sólo tres o cuatro empresas: Symantec, Thawte, Comodo, y, no sé si me dejo alguna. Los precios son también absolutamente dispares, los de Comodo parecen los más baratos, pero, estos parecen requerir sí o sí la "prueba notarial".

Sobre Thawte no lo tengo claro, porque, he llegado a leer en su página web que sólo desde unos pocos países europeos pueden obtenerse certificados digitales individuales (no corporativos) y entre ellos no está España. Y respecto a Symantec no sé qué requerirá pero desde luego sus precios son prohibitivos para mí en este momento. Y es que tampoco hay muchas más empresas donde elegir que las mencionadas. Y son ellas las que validan, no los revendedores.

En fin, con esto de que un notario tenga que entrar por medio a mí me han hecho polvo. E ignoro la necesidad de tanta verificación: te estoy pagando el certificado, te estoy enviando documentación que sólo yo puedo tener; te estoy mostrando mi número de teléfono en la guía; puedes llamarme para confirmar que yo y comprobar que, en efecto, he solicitado el certificado de marras. En fin, ¿para qué ha de entrar aquí un notario?

Además que uno piensa que el trámite notarial en cuestión debe ser sencillo, fácil y para toda la familia. Pero esto es imposible, como no sea que conozcas a algún notario de antemano y tengas cierta confianza o algo así. De lo contrario, ve temprano por la mañana (si no quieres que te espeten que "todos venís a la una") y prepárate a ver caras de sorpresa. Vuelve otro día y otro día hasta que te entiendan y hagan su trabajo. Y paga la minuta. :(

En fin, con esto de que un notario tenga que entrar por medio a mí me han hecho polvo. E ignoro la necesidad de tanta verificación: te estoy pagando el certificado, te estoy enviando documentación que sólo yo puedo tener; te estoy mostrando mi número de teléfono en la guía; puedes llamarme para confirmar que yo y comprobar que, en efecto, he solicitado el certificado de marras. En fin, ¿para qué ha de entrar aquí un notario?

Este mismo proceso de verificación es necesario con el cert. FNMT de Ceres, solo que aquí se simplifica poniendo como "notario" a cualquier empleado público que con ayuda de tu DNI certifica que eres el titular de ese NIF. Eso simplifica todo y evita costes de cualquier tipo como el de un notario ya que el procedimiento es gratuito.
Luego la administración pública se encarga de la gestión gratuita de los certificados asignados porque les beneficia a ellos para facilitar trámites fiscales.
Eso supone que no se paga a la entidad certificadora ni al verificador-notario que certifica que eres quien dices ser.

Pero al final el resultado es el mismo. Solo falta el puñetero trámite del puto Windows, si a partir de Windows 10 traen como organismo certificador la FNMT ya no habría ningún problema :)

Hola,

En realidad, si echamos un vistazo este documento (https://support.comodo.com/index.php?/Knowledgebase/Article/View/953/0/face-to-face-for-ov-and-code-signing), tal vez no queda claro si debemos recurrir a un abogado, a un notario o, también, a algún funcionario de algún tipo que pudiera llevar a cabo la verificación. Pero en el mundo real(TM) uno debe presentarse con dicho documento (en inglés) en algún sitio...

De todas formas y en honor a la verdad este ha sido mi caso y mi experiencia: otra persona que tenga ciertos contacto con abogados, notarios, administraciones, etc., pudiera llevar a cabo el trámite porque supiera más o menos a quién acudir y de qué manera hacerlo.

Gracias por tus respuestas Nasca.

Dec, yo compre uno de esos hace un tiempo en https://www.startssl.com/. Primero es importante aclarar que tiene que ser un certificado especifico para firmar apps! No sirve un SSL "normal" web.

El proceso no es super-simple, pero tampoco absurdamente engorroso: Es exactamente como se describe en este blog:

http://blog.kowalczyk.info/article/lh6f/Buying-a-certificate-for-signing-windows-applica.html


Important note before you start: you also need to have some internet domain registered in your name (or in your organization’s name) and to minimize the troubles make sure there is a valid e-mail address with that domain that you can receive
...
...
They asked for a copy of valid id. I e-mailed them a photo of my driver’s license (taken with iPhone)
Then they asked for a copy of a phone bill. I e-mailed them the PDF bill I downloaded from AT&T’s website
Then they called me on my phone to verify the phone number on the bill is my phone number


Este lo compraron en otro lado pero el proceso fue igual que en el mio.

P.D: Lei las instrucciones y el problema es que no lees bien ingles ;). Te dicen exactamente lo que te estoy diciendo: De hecho, si te fijas bien puedes elegir los 2 tipos de documentos que mejor te convengan, y solo es cosa de ir a un notario a que lo autentiquen. Hay estan los pasos bien y no les veo mucho problema (mas que todo, el fastidio de hacer la vuelta, que en las que he hecho aqui en colombia no toman mas de 1 hora).

Hola,

Gracias por respodner mamcx. He visitado esa página, pero, no estoy seguro de que sirvan certificados para programas, parece que son sólo para sitios web, ¿o me equivoco? Por otro lado, cuando hace un par de años traté de hacer lo mismo, en efecto, los documentos y el proceso era el que describes, pero, de un tiempo a esta parte las cosas han cambiado y no sólo es Comodo quien precisa de "notarios".

Pero cuando dices "solo es cosa de ir a un notario a que lo autentiquen", mucho me temo que he quemado el primer cartucho y sólo hay cuatro notarios más en mi ciudad/dormitorio. Todos ellos pasan los 60 años y no sé yo si el asunto será tan sencillo o me pedirán como el primero que vuelva más pronto, que me entere mejor, que habría que empezar por traducir el documento, etc.

Sí; es cierto, quizá me ahogo en un vaso de agua, pero, es oír hablar de notarios y abogados y metérseme el miedo en el cuerpo. :(

pero, es oír hablar de notarios y abogados y metérseme el miedo en el cuerpo. :( Haces bien :rolleyes:

Hola,

Haces bien :rolleyes:

Es una prevención natural, instintiva. :D

Hola,

Acabo de atreverme con el sitio web indicado por mamcx. Acabo de finalizar el "Validation wizard" y ahora estoy a la espera de que contacten conmigo.

¡Os mantendré informados! :)

Hola,

He visitado esa página, pero, no estoy seguro de que sirvan certificados para programas, parece que son sólo para sitios web, ¿o me equivoco?

Si te refieres a esta (https://www.startssl.com/?app=39) veras que dice "Code Signing", osea que si sirve. Igual si queres les escribes. O usas la del blog: http://ksoftware.net/.

Con respecto al documento: Obvio, necesitas traducir lo importante, eso no te lo va a hacer el notario ;). En las instrucciones no veo nada complejo, fuera de lo normal (aparte de que este en ingles). Lo importante es que lo lleves todo preparado, que esa gente solo le interesa cobrar y firmar. Hay te dicen que lo puede hacer un notario o un abogado.

Puedes intentar con los otros dos sitios a ver si tienen menos pasos (les preguntas que te den todas las instrucciones antes de comprar).

Y compralo por mas de 1 año pa que no te toque hacer la vuelta seguido ;)

P.D: Siempre es bueno tener de conocido un abogado & contador. Al amigo cerca, y al enemigo ..... ;)

Hola,


Si te refieres a esta (https://www.startssl.com/?app=39) veras que dice "Code Signing", osea que si sirve. Igual si queres les escribes. O usas la del blog: http://ksoftware.net/.


Este sitio me ha llamado la atención porque parece que no cobran por el certificado sino por el proceso de validación. Tal vez si al final no funciona no cobrarán nada. Por otro lado no es muy caro ($59 USD) y parece que no requiren del notario, al menos para la validación de "Clase 2", que, es la necesaria para después obtener certificados "individuales" que, en efecto, parecen servir para firmar programas: "object code".


Con respecto al documento: Obvio, necesitas traducir lo importante, eso no te lo va a hacer el notario ;). En las instrucciones no veo nada complejo, fuera de lo normal (aparte de que este en ingles). Lo importante es que lo lleves todo preparado, que esa gente solo le interesa cobrar y firmar. Hay te dicen que lo puede hacer un notario o un abogado.


Yo tampoco veo nada complejo en las instrucciones usando un poco el sentido común. Pero fue el notario mismo el que habló de traducir el documento. ¿Traducirlo para qué, si a quien tienes que remitirle la documentación no le puedes enviar ninguna traducción? Leí que podía hacerlo un abogado, pero, consultado uno, me remitió a un notario. No sabían inglés y no se molestaron en leer el documento en cuestión.


Puedes intentar con los otros dos sitios a ver si tienen menos pasos (les preguntas que te den todas las instrucciones antes de comprar).


Parece que lo del proceso notarial se está poniendo de moda y los proveedores que he visto accesibles en precio (Comodo y Thawte) sí que lo requieren y además lo especifican claramente. Por otro lado si tratamos con "resellers" (porque los precios varían hasta un 70% respecto de los sitios "oficiales") he consultado con algunos de ellos y, o no han sido claros, o me han mandado al "oficial", o me han dicho que "individualmente" no puedo hacerlo. En "Thawte", por ejemplo, he llegado a leer que no facilitan certificados individuales a gente fuera de Suiza, Francia, Alemania y algún otro país más, pero no España.


Y compralo por mas de 1 año pa que no te toque hacer la vuelta seguido ;)


Eso lo pensé y lo intenté por tres años. Pareciera que las renovaciones fuesen más sencillas. En todo caso, en el sitio web de que tratamos ahora, ya digo que no parecen cobrar por el certificado sino por el proceso de validación y esto habría de hacerse anualmente, si no me equivoco.


P.D: Siempre es bueno tener de conocido un abogado & contador. Al amigo cerca, y al enemigo ..... ;)


¡Seguro! Pero esta sociedad está muy compartimentada, y, por ejemplo, en mi barrio, encontrarás fontaneros, albañiles, electricistas, operarios, conductores, pero no abogados, médicos o similares. Esa gente, simplemente, está en su propio compartimento. Pero es verdad que no me importaría.

En fin, ¡ya veremos qué dice esta gente! Yo les he enviado mi DNI (Documento Nacional de Identidad), mi carné de conducir, un extracto bancario y una factura de teléfono. Por lo demás me registré con mi nombre, indicando un correo electrónico de mi dominio, en cuyo "whois" también reza mi nombre, dirección, etc.

¡A ver si hay suerte!

Hola,

Bueno, pues, una cosa está clara y es que son rápidos... he recibido ya un par de correos y acabo de recibir una llamada de teléfono desde California, o sea, una señorita preguntándome por el certificado, si lo había pedido, cuándo había nacido y dónde. Así que creo que al final esto se va a conseguir por este medio. Pero os seguiré informando de cómo queda todo. :)

Hola,

Acaban de enviarme un correo para que paguese por Paypal los $59 USD y acabo de proceder a ello. Seguiremos informando. :)

Hola,

¡Ya está! O sea, al menos el proceso de validación ha finalizado con éxito. Más rápido imposible. ¡Cuestión de minutos! Ahora voy a ver si, en efecto, puedo conseguir el certificado y puedo firmar alguna cosa... ya os iré contando.

P.D. Muchas gracias mamcx. Yo había mirado ya esa página, pero, no me había fijado hasta el punto de ver que acaso tenía una posible solución.

Ha tenido que ser en un país del primer mundo.

Hola,

Parece que el asunto va bien Casimiro, pero, al iniciar el "Certificates Wizard" me piden esto:


Submit Certificate Request (CSR)

Copy and paste the content from the certificate request into the textbox below.
Make sure, that you do not alter the content and you did not add any spaces!
Always include the headers and footers of the CSR.
The CSR must have a SHA1 secure hash or better, MD5 hashes are not allowed.
The RSA key size must be at least 2048 bit.


... y ahora mismo no tengo ni idea de qué demonios se supone tengo que hacer...

Busca con openssl como se hace Certificate Request, aunque si creo recordar la pagina/correo deberia tener un link al tutorial? Yo uso mac que tiene un wizard para hacer eso, pero eso lo tienes que hacer en tu maquina. Recuerda un muy buen backup de todos esos certificados...

¿No te han dado ninguna instrucción?
Aparentemente ¿está buscando un fichero de clave privada?

Hola,

No; la culpa la tengo yo Casimiro. Parece que ahora toca pegarse con OpenSSL para obtener varias cosas: una clave privada y un "Certificate Request (CSR)". Ahora estoy viendo cómo generar dicho "CSR" en forma de "texto", puesto que parece que es así como lo tengo que enviar. Para alguien nuevo en esto parece más complicado de lo que al final va a resultar. Vamos a ver...

P.D. Pero lo principal está hecho, es decir, si no me equivoco, ya podría optar al certificado en cuestión (espero que funcione como debe), lo que falta ya puedo conseguirlo sin notario de por medio. :)

A ver, seguro que lo solucionas rápido.

Hola,

Buff... aquí los pasos más o menos:

1º Descargar OpenSSL para Windows, yo he descargado la última versión desde aquí (https://indy.fulgan.com/SSL/).

2º He seguido los pasos indicados aquí (http://itigloo.com/security/generate-an-openssl-certificate-request-with-sha-256-signature/) para crear una clave privada y un "Certificate Signing Request (CSR)"

He perdido tiempo porque me requerían un "texto" y yo sólo veía que OpenSSL genera archivos "CRT", que, para mi sorpresa, son archivos de texto... justo el texto que te piden. :D

Por lo demás, una vez enviado dicho "CSR" desde el panel de control de startssl.com, me indican que ahora debo esperar unas pocas horas para que ellos tramiten el asunto. Con suerte serán tan rápidos como antes.

Hola,

¡Pues ya está! Parece que funciona como se espera. Ahora toca ponerme a firmar programas como un loco. :)

P.D. Aprovechad los que queráis conseguir un certificado, puesto que igual esta gente sube los condiciones o algo así... yo acabo de probar que funciona como se espera en mi PC con Windows 10 y en mi portátil también con Windows 10. En los $59 USD se incluye la validación y el certificado. Te cobran después de validarte, así que igual no te cobrarían si no te validan. Y hablamos de un año de duración. La verdad, creo que está bastante bien. ¿No?

Hola,

Bueno, pues, después de cuatro horas (según veo por el mensaje de arriba) puedo decir que todos mis programas están firmados y así disponibles. La verdad es que el asunto no pintaba demasiado bien, pero, mira tú por dónde al final no ha salido del todo mal. Sólo he notado que, al menos en Windows 10, puede seguir apareciendo cierto diálogo intimidatorio para el usuario. Este deberá pulsar el botón "más información", y, en efecto, ahí podrá ver mi nombre (peor es que aparezca "desconocido"), pero, no antes de pulsar en el botón "más información".

El diálogo en cuestión aparece al descargar uno de mis programas desde internet. Es decir, existen otros diálogos similares, pero, en estos otros sí se muestra mi nombre sin necesidad de pulsar en botón alguno. Yo achaco a la "calidad" del certificado el que no pueda "pasar" el primer diálogo, aunque, a decir verdad no estoy seguro del todo: ¿tal vez intervenga el dominio desde el que se descarga el programa?

En todo caso pienso en una posible solución que tal vez funcionase y tengo que probar: en lugar de distribuir los programas ejecutables, comprimirlos en un zip. De este modo, el usuario descarga un archivo zip de internet que tendrá que descomprimir, y, si mi idea es correcta, al ejecutar el programa contenido en el archivo zip ya no aparecerá el primero de los diálogos mencionados.

Y, para terminar, tal vez os apetecería descargaros alguno de mis programas (podéis verlos en la web de mi firma), únicamente para comentar aquí cómo se comporta el certificado, es decir, qué tipo de diálogo os aparece al intentar instalarlo, etc. No hace falta que lo instaléis si no queréis. ¿De acuerdo? Por supuesto, cualquier otro comentario será bien recibido.

En fin, esto último es opcional. ¡Y gracias a todos! :)

Ayer tenías esta inquietud, hoy está solucionado :)

Hola,

¡Uy si hubiese sido ayer! Ayer lo comenté por aquí pero llevo unos dos años consciente de que tenía que conseguir el asunto y hasta ahora, Casimiro, ya me dirás qué tipo de retraso sufro. :D

Retraso, seguro que no tienes ninguno, sino todo lo contrario :)
Son de esas cosas que no son urgentes y que suelen ir dejándose hasta que llega un día que se dice: "¡ya!", eso ocurrió ayer, hoy ya es historia :D

Hola,

Retraso, Casimiro, ¡que te lo digo yo! Mira, voy a referirlo para dejarlo claro:

1º Hace un par de años (de reloj, como me gusta decir, aunque no gasto) empecé a notar los avisos que mostraba Windows y me hicieron interesarme por esto de los certificados. Ví lo que tenía que hacer y, aunque lo intenté, no pude llevarlo a cabo, porque, entonces no tenía una línea de teléfono fija a mi nombre, y, era imprescindible tenerla, pues esta gente busca en las guías de teléfonos (o puede hacerlo) como uno de los pasos de verificación.

2º Pues bien, hace un mes (también de reloj, además, justamente hoy 17 hace un mes) me dí cuenta de que podía cambiar a mi nombre contrato de telefonia que tenemos en casa: se hace mediante internet y no cuesta nada en absoluto. Así que dado este paso, hace unos días (otra vez de reloj) mi teléfono por fin aparecía en la guía, puesto que yo expresé que así fuese (marcando una casilla en la web de mi operadora). Que el teléfono aparezca en la guía ha costado casi un mes completo.

3º Ya con el teléfono en la guía, y, suponiendo que el resto de documentos serían los que ya tenía (puesto que la otra vez sólo falló lo de la guía) compré de nuevo el "intento de certificado". Por tres años, ¿eh? Vamos, que estaba bien dispuesto a ello. Pero hete aquí que acaso metí la pata o tal vez no, verás. El caso es que me adelanté enviándoles los documentos antes de que me los pidieran, incluyendo la referencia a la guía de teléfonos donde aparece mi número. Ahora veo que esto fue un error.

En efecto, en este sitio web en que al final he conseguido el certificado, puede leerse que no debes mandar más documentos que los que te pidan: al fin y al cabo uno el proceso de validación también comprende el hecho de puedan buscarte y encontrarte en internet por ellos mismos. Por ejemplo, exigen que tengas un dominio y que el "whois" sea público y en el mismo figuren tus datos, exactamente los mismos datos que proporcionaste al solicitar el certificado.

También es cierto que lo de que me adelanté lo pienso ahora. Quiero decir, que, en efecto, lo del "notario" no me lo he inventado yo. Por lo que he leído (en la página de GoDaddy, revendedor de la certificadora Comodo), se menciona que "ahora" (es decir, desde un tiempo a esta parte) se exige la verificación que llaman "face to face", vamos, el asunto de contactar con un notario, abogado o quien quiera que pueda verificar (pero esto tienes que hacerlo tú, ya sabes) que tú eres quien dices ser.

4º Como veo que no puedo conseguir el certificado, comienzo de nuevo a darle vueltas a la cabeza, buscando acaso sitios alternativos, pero, no resulta sencillo, pues, como digo más arriba, no hay muchas entidades certificadoras (se cuentan con los dedos de las manos) y algunas de ellas tienen unos precios prohibitivos (más de $500 USD anuales). En todo caso y por suerte K-Software (el revendedor de Comodo con el que traté hace dos años y ahora) no tiene problemas en devolverte el dinero si al cabo no puedes obtener el certificado por el motivo que sea.

5º Como veo que no voy a llegar a nada, me decido a escribir aquí un mensaje, porque, además no parece que exista mucha información (en Español, en España) acerca de estos asuntos. Pienso que la gran mayoría de desarrolladores son empresas o autónomos, y, de este modo el pedido del certificado discurre por otros cauces: no se trata de identificarte a ti, sino, además también a la empresa para la que solicitas el certificado.

6º Llega Mario (mamcx) y menciona el sitio web StartSSL (https://www.startssl.com/?app=0). En mi búsqueda yo ya había visitado este sitio, pero, no me había fijado bien en lo que Mario me indicó: que tal vez no hiciese falta aquí el proceso del notario de marras. No me había fijado, seguramente, porque tenía la cabeza como un bombo al ver que mis esfuerzos habían sido en vano. Pero, leyendo atentamente, en efecto, parece que cumplo con los requisitos, y además ofrecen certificados propios, no es un revendedor, y además son bastante baratos, de hecho, más baratos que en K-Software/Comodo.

7º Así que sigo adelante y les envío la documentación que me solicitan. Miento, porque, ellos dicen de un pasaporte, y yo, que no he salido de mi ciudad/dormitorio, les presento mi DNI, mi carné de conducir hierros, una factura de teléfono y un extracto bancario. Con esta documentación y con mis datos personales en el "whois" de mi dominio, mi teléfono, en fin, solicito la validación de mi persona y, en menos de cinco minutos (¡de reloj!) me envían un par de correos diciéndome que se ponen a ello.

8º En otros veinte minutos recibo una llamada de teléfono desde California, que, en mi churringlés, medio consigo llevar adelante. Una señorita muy amable me pregunta si he solicitado un certificado, cómo me llamo y dónde nací. Acto seguido se despide amablemente y al rato recibo un correo electrónico diciéndome que la verificación se ha llevado a cabo con éxito y ya puedo obtener el certificado. Y así es, en efecto, menos de una hora ya he aprendido lo bastante de OpenSSL para crear claves privadas y lo necesario para obtener el certificado, lo solicito, y me lo proporcionan.

Resumen: Dos años, Casimiro, al menos, ¡dos años de reloj y de retraso para algo que se podía hacer en un par de horas!

Notas sobre StartSSL: Me ha gustado mucho cómo funciona esta gente. En primer lugar, y, por ejemplo, cuando te registras en su web para solicitar un certificado (ojo que ofrecen certificados gratuitos para sitios web), se siguen pasos distintos de los de K-Software. Aquí se empieza por generarse un "certificado personal", que, te servirá para autenticarte en el sitio web en el futuro.

Después de eso, no se paga por los certificados. Esto es curioso, porque, ellos mismos los mencionan, es un modelo de negocio "raro": yo al menos no he visto cosa igual estos días. Ellos cobran no por el certificado sino por el proceso de verificación. Es decir, los $58 USD que he pagado (más barato incluso que K-Software, por cierto) han sido por el proceso de validación, y, creo que tengo certificado para al menos un año, si no me equivoco, tal vez hasta dos.

Por si fuera poco, los certificados que proporciona esta gente son bastante interesantes, puesto que no sólo sirven para firmar código:


StartSSL™ Verified (Class 2 / 3) digital certificates are ideal for authentication, B2B and B2C transactions, protection of electronic mail and signing of object code and macros. More than that, StartSSL™ Verified provides a level of flexibility and support options not found anywhere else. StartSSL™ Verified supports:

Web server certificates (SSL/TLS)
Wild cards (*.domain.com)
Multiple domains (DNS Alt Names)
128/256-bit encryption
Object Code Signing
Client and mail certificates (S/MIME)
US $ 10,000 insurance guaranteed
Certificates 2 or 3 Years valid


La verificación "Clase 2" es la que yo he obtenido, es la verificación "individual". La "Clase 3" es la verificación para empresas. Lo importante es que para poder firmar código (entre las otras cosas que se leen arriba) basta con la verificación de "Clase 2". Y en StartSSL, como hemos visto, de momento, no necesitan notarios ni abogados para comprobar tu identidad, al menos no para la verificación de "Clase 2".

En fin, tampoco quiero aburrir con el tema. Seguramente StartSSL no sea perfecto. Su sitio web no lusce muy "moderno", pero, ojo, su panel de control, moderno o no, funciona muy bien y ofrece todo lo necesario: desde solicitar el certificado hasta obtener el archivo "PFX" para firmar los programas. Así que si soy tan pesado es por si alguno está necesitando algo similar y puede aprovecharse de este hilo.

¡Y no esperar dos años como yo para obtener el dichoso certificado con el que firmar nuestros programas! ^\||/

P.D. Madre mía que rollo he soltado. Pido disculpas. :D

Ahora le ponemos la "chincheta" y ya tenemos un tutorial sobre el tema.
:)

Hola,

Bueno. Una cosa más. Antes mencioné que Windows 10 muestra cierto diálogo si el usuario descarga un archivo ejecutable Propuse como posible solución comprimir dicho ejecutable en un zip y dejar que sea esto lo que se descargue. En efecto, esta solución parece funcionar. De alguna forma, Windows 10 "marca" los ejecutables descargados, pero, no así los archivos zip.

Cuando el usuario descomprime y ejecuta el archivo ejecutable contenido en el zip, Windows muestra un diálogo de advertencia, pero, este incluye ya el nombre del certificado del ejecutable. No así el mensaje de advertencia cuando se descarga un archivo ejecutable, que, obliga además al usuario a pulsar un botón "Más información" para poner ejecutar el programa.

Gracias por compartir ese detalle.

Una anotación por el tema de la firma de tiempo. Si usas signtool.exe para la firma mira la opción para indicar una marca de tiempo al programa.

Solo hay que añadir un parámetro a (o similar):

"C:\Archivos de programa\Microsoft SDKs\Windows\v7.1\Bin\signtool.exe" /t http://timestamp.verisign.com/scripts/timstamp.dll

Por cierto, lo he probado en Windows XP y se verifica correctamente.

#:-)#

Muchísimas gracias, David.

Les has ahorrado cientos de horas de trabajo a buena parte de la comunidad de programadores (incluyendo a personal de la empresa donde laboro). :)

Hola,

Gracias por compartir ese detalle.

Una anotación por el tema de la firma de tiempo. Si usas signtool.exe para la firma mira la opción para indicar una marca de tiempo al programa.

Solo hay que añadir un parámetro a (o similar):

"C:\Archivos de programa\Microsoft SDKs\Windows\v7.1\Bin\signtool.exe" /t http://timestamp.verisign.com/scripts/timstamp.dll

Por cierto, lo he probado en Windows XP y se verifica correctamente.

Hum... no sé si llegué a subir algún archivo sin marca de tiempo y tú lo bastante entonces. Ahora mismo se supone que estoy haciendo lo que dices usando el servicio que proporciona el propio StartSSL.com. Gracias por comentar lo de Windows XP, en efecto, el asunto parece funcionar también en Windows 10.

#:-)#

Muchísimas gracias, David.

Les has ahorrado cientos de horas de trabajo a buena parte de la comunidad de programadores (incluyendo a personal de la empresa donde laboro). :)

¡No faltaba más! En realidad soy yo el agradecido. Pero es verdad, el servicio es bastante bueno (al menos si se comportan como conmigo) y el certificado es hasta más barato que en K-Software/Comodo, puesto que creo que son dos años de certificado por $59 dólares. Y por cierto que el título de este hilo se centraba en España, pero, voy a renombrarlo, puesto que StartSSL.com parece servir a todo el mundo.

¿A qué se refieren con la marca de tiempo del programa?

// Saludos

Hola,

¿A qué se refieren con la marca de tiempo del programa?

// Saludos

Si lo he entendido bien (http://stackoverflow.com/a/4417466), la comprobación del certificado de un programa será correcta incluso si el certificado ha caducado, puesto que el "timestamp" se hiciese previamente a la caducidad del certificado. Si no añadimos el "timestamp", la comprobación del certificado no será válida una vez caducado el certificado. Como los programas que distribuimos pueden estar "por ahí" incluso después de haber caducado su certificado, es bien añadir el "timestamp" cuando se firma el programa, de manera que la validación del certificado siga siendo correcta en todo caso.

¡Perfecto! Ya entendí :)

// Gracias

Muchas gracias.

Tengo que leer todo con calma, ya que es algo que también deseo hacer.

^\||/:)

Hola,

¡No hay de qué! Si tenéis cualquier duda no dejéis de postearla por aquí: entre todos veremos de ayudar. :)

Yo sí tengo una pregunta: ¿la señorita que te llamó de California, te habló en inglés o español? :) :p

// Saludos

Hola,

Je je je... Me habló en inglés, a lo que yo, obviamente, y, haciendo gala de mi superior intelecto, respondí: ¡Sí! ¿Dígame? Y luego, balbuceando, lo segundo que le dije de algo así como "I am, I am David", digo, lo segundo que le dije fue "Sorry, my english is very poor, hope you can understand...". A lo que ella respondió con un "No problem, it's fine" (léase "it's fine" como "vale, no pasa nada") y, en fin, terminamos la conversación como mejor pudimos. :D

Hola David,
Ante todo muchas gracias por esta explicación.
Como mi inglés es muy malo, a ver si me puedes aclarar algunas cosillas.
He pedido el certificado y ya lo tengo de clase 2, me he bajado un archivo de startssl desde mi panel de control, el nombre del fichero es: sub.class2.code.ca.pem, ahora genero una clave privada como comentas y se crean dos ficheros .CSR Y .KEY luego en el panel de control de startssl pulso la opción de Create PKCS#12 (PFX), meto el contenido del fichero CSR y abajo el del fichero .pem pero me da error: Error Creating PKCS#12 (PFX)
The private key and certificate modulus don't match. Make sure to enter the corresponding private key for this certificate.
He probado con el fichero .Key también y nada de nada, como puedo generar el fichero PFX?.
Muchas gracias.

Hola miado,

No soy un experto y tampoco recuerdo muy ahora mismo los pasos que seguí exactamente, pero, vamos a si podemos ayudarte. No estoy seguro de si estás descargando el archivo correcto desde StartSSL, puesto que el que yo descargué tiene este nombre: "StartSSL_Personal_Certificate.p12". Ese es el certificado que me conecta a StartSSL y con el que puedo acceder al panel de control

En el "Certificates Wizard", asegúrate de que seleccionas la opción "Object code signing certificate" y luego sigue los pasos. En este punto ya necesitarás el archivo CSR (Certificate Signing Request) creado con OpenSSL para Windows. Creo que completando los pasos del "Wizard" obtendrás directamente el archivo PFX, es decir, este archivo se descargará al terminar el "Wizard".

Sigue esos pasos y cuenta qué tal va.

P.D. No recuerdo ni tengo guardado ningún archivo "sub.class2.code.ca.pem", de modo que por eso pienso que igual no has empezado con el "Wizard" adecuado... a no ser que... tal vez ese archivo ".pem" contiene una clave privada: pero no recuerdo ahora mismo si hay que usarla en el proceso del "Wizard" o no... lamento de veras no tener más memoria para ayudarte mejor.

Pues nada, al final como bien indicabas, me he metido en el "Wizard" del citado panel de control y he seleccionado "Object code signing certificate" como también comentas, me ha pedido la key que he puesto la que había generado con fichero.key y la password, seguidamente me ha salido un mensaje que pasaba a validación, al cabo de un par de horas he recibido un correo que estaba autorizado y verificado con un link a mi panel de control, tenía que pulsar en la opción del panel de control Retrieve Certificate, al pulsar ahí me ha salido un texto que es el certificado encriptado lo he guardado en un txt y luego seguidamente he acudido a la opción del panel de control Create PKCS#12 (PFX) he puesto como key el texto del fichero.key y en certificado este último texto que he recibido, seguidamente la password del fichero.key y me ha dejado bajar un fichero .p12, a este fichero .p12 le he cambiado la extensión a pfx y con un programa que me bajé llamado ksign.exe le metes el ejecutable o los ejecutables que quieras y el fichero pfx y le das al botón y listo!!!! ya está.

Me queda una última duda, no se vosotros como lo haceis. Yo hago el instalador con inno setup, que te genera el .exe y dentro del instalador está el fichero exe de Delphi, yo he metido el certificado en los dos, es decir en el instalador y en el ejecutable Delphi que luego va dentro. Es necesario realizarlo así?

Muchísimas gracias por toda esta información ya que llevaba mucho tiempo intentado firmar una aplicación.

Hola,

Pues nada, al final como bien indicabas, me he metido en el "Wizard" del citado panel de control y he seleccionado "Object code signing certificate" como también comentas, me ha pedido la key que he puesto la que había generado con fichero.key y la password, seguidamente me ha salido un mensaje que pasaba a validación, al cabo de un par de horas he recibido un correo que estaba autorizado y verificado con un link a mi panel de control, tenía que pulsar en la opción del panel de control Retrieve Certificate, al pulsar ahí me ha salido un texto que es el certificado encriptado lo he guardado en un txt y luego seguidamente he acudido a la opción del panel de control Create PKCS#12 (PFX) he puesto como key el texto del fichero.key y en certificado este último texto que he recibido, seguidamente la password del fichero.key y me ha dejado bajar un fichero .p12, a este fichero .p12 le he cambiado la extensión a pfx y con un programa que me bajé llamado ksign.exe le metes el ejecutable o los ejecutables que quieras y el fichero pfx y le das al botón y listo!!!! ya está.


Me alegro mucho, hombre. En efecto, ahora creo recordar que yo también cambié la extensión del archivo ".p12" a ".pfx"...


Me queda una última duda, no se vosotros como lo haceis. Yo hago el instalador con inno setup, que te genera el .exe y dentro del instalador está el fichero exe de Delphi, yo he metido el certificado en los dos, es decir en el instalador y en el ejecutable Delphi que luego va dentro. Es necesario realizarlo así?


Sí; en principio cualquier archivo ejecutable de nuestro programa (EXE ó DLL) pueden y deben firmarse. Al principio yo preparé un par de archivos BAT para firmar los ejecutables de mi programa, a continuación preparaba el instalador y usaba otro archivo BAT para firmar el ejecutable del instalador.

Sin embargo, es posible configurar Inno Setup para que firme el instalador (http://revolution.screenstepslive.com/s/revolution/m/10695/l/95041-signing-installers-you-create-with-inno-setup), y, de hecho es recomendable, no sólo porque nos ahorra el segundo archivo BAT, pero, también porque, haciéndolo de este modo, Inno Setup se encargará de firmar el instalador y también el ejecutable del desinstalador.


Muchísimas gracias por toda esta información ya que llevaba mucho tiempo intentado firmar una aplicación.


Para eso estamos. Han sido también los comentarios de los compañeros que postearon en este hilo los que nos ayudaron a encontrar la solución, que, yo también he pasado tiempo buscando. :)

Nada, después de firmar los ejecutables e instalador correctamente, veo que el navegador Chrome al bajar alguno de mi web indica que es un fichero que no se descarga habitualmente y lo marca como peligroso, cuando está analizado y verificado que no contiene virus ni nada por el estilo y una vez que puedes marcar la opción de guardar al ejecutarlo en Windows 10 lo bloquea igualmente y tienes que pulsar en "mas información" para poder ejecutarlo, esto ya es algo preocupante pues muchos clientes no ven esa opción.
Lo hábeis solucionado alguno de alguna manera?
Qué se puede hacer ante esto?

Hola,

Yo creo que nuestro trabajo termina en firmar nuestros programas. Por ejemplo, yo no he notado lo que mencionas porque no uso el navegador Chrome. No creo que podamos tener en cuenta cada uno de los posibles programas y de sus posibles configuraciones. A mí, personalmente, me preocupaban los mensajes de advertencia del propio Windows, y, estos ya no aparecen una vez firmado un programa. Mejor dicho (y esto sirve para mi argumento) los mensajes de advertencia siguen apareciendo, pero, ya no incluyen iconos "warning" sino "information".

Esto quiere decir que otros programas como navegadores o antivirus, dependiendo de su configuración además, podrán informar al usuario sobre los peligros de poner en marcha un programa ejecutable. Sin abusar, creo que esto no está mal, puesto que, en efecto, entraña cierto peligro. Pero espero que el usuario que sepa lo que ha descargado, y, que vea que el programa está firmado por quien se supone que tiene que estarlo. A partir de ahí el usuario debe poder elegir qué hacer. Pero nosotros ya hemos hecho lo que podíamos para facilitárselo.

P.D. Voy a abrir Chrome y ver qué pasa cuando descargue uno de mis programas. A ver qué pasa.

Hola,

Después de probar con Google Chrome, tengo que decir que a mí no me sucede lo que al compañero, aunque, pareciera que Google no sólo descarga el archivo, sino que lo envía a sus servidores y comprueba no sé qué antes de dejarte hacerte con el control de dicho archivo.

En fin, una posible solución pudiera ser no ofrecer archivos executables a los usuarios. En mi caso lo que he descargado es un archivo Zip, que, a su vez contiene el archivo ejecutable del programa en cuestión. Creo que esto puede ser una posible solución al problema que plantea miado.

Nada, después de firmar los ejecutables e instalador correctamente, veo que el navegador Chrome al bajar alguno de mi web indica que es un fichero que no se descarga habitualmente y lo marca como peligroso
Estas cosas creo que no debe controlarlas tú, en este caso. No puedes saber qué navegador usará la gente, chrome, firefox, opera, etc. o alguno nuevo que pueda surgir mañana.

Hola,

Estas cosas creo que no debe controlarlas tú, en este caso. No puedes saber qué navegador usará la gente, chrome, firefox, opera, etc. o alguno nuevo que pueda surgir mañana.

Eso es lo que quería yo decir. Por otro lado, tengamos en cuenta que los archivos Zip no son tratados de igual forma que los archivos Exe. Pareciera que con los primeros los programas del tipo del navegador Chrome son más permisivos: al fin y al cabo es el usuario quien después descomprimirá el archivo Zip.

Dicho eso, volvemos al principio: ¿qué pasa si el compresor/descompresor de archivos Zip que usa el usuario le avisa de que el archivo Zip contiene un ejecutable y que esto pude causar daños a su equipo y bla, bla, bla? Sobre esto poco podemos hacer nosotros.

... Claro, estoy de acuerdo ^\||/

Antes de nada gracias a dec por ampliar su experiencia. Es una estupenda guía para obtener el certificado con StartSSL.
Finalmente he decidido evitarles los sustos que le da a los usuarios firmar con el certificado de la FNMT.

He realizado el procedimiento con www.startssl.com (https://www.startssl.com/).
Añado alguna información que puede ser de utilidad a otro que se lance con ellos.

Tienen una opción de verificación postal alternativa a la telefónica. Yo tenía un pequeño lío con las direcciones y al final este método me ha resuelto el problema y me ha evitado balbucear mi pésimo inglés. Como curiosidad, la verificación postal se realiza desde Israel, creo que la empresa también es de Israel.

Son muy accesibles, no son máquinas insensible. Son personas las que te atienden y se nota que están por ayudar.
Yo he cruzado numerosos correos con ellos, rozando a veces el límite cansino, y son rápidos y razonables.

Respecto a la validez de los certificados:

Class 2 certificates are valid for two years, and class 2 validations are valid for 350 days. During this period you can create as many certificates at this level as you want and those certificates will be valid for two years. Hope this clarify the things.

O sea que es conveniente que antes del vencimiento de la verificación (350 días) saquemos otro nuevo certificado, por lo que de alguna manera tendríamos cubiertos casi tres años.

Ahora a seguir con la fase de crear los certificados, si encuentro algo nuevo que aportar en el procedimiento, lo añado luego.

Hola,

Antes de nada gracias a dec por ampliar su experiencia. Es una estupenda guía para obtener el certificado con StartSSL.


¡Gracias a vosotros! Si no hubiese abierto este hilo estaría sin certificado todavía. :o


He realizado el procedimiento con www.startssl.com (https://www.startssl.com/).
Añado alguna información que puede ser de utilidad a otro que se lance con ellos.

Tienen una opción de verificación postal alternativa a la telefónica. Yo tenía un pequeño lío con las direcciones y al final este método me ha resuelto el problema y me ha evitado balbucear mi pésimo inglés. Como curiosidad, la verificación postal se realiza desde Israel, creo que la empresa también es de Israel.


Sí; la empresa debe estar en Israel, puesto que recuerdo que me llamaron desde Estados Unidos. Está bien que digas que puede hacerse por correo postal, puesto que nunca se sabe... ahora tengo una línea de teléfono, pero, mañana tal vez no disponga de ella.


Son muy accesibles, no son máquinas insensible. Son personas las que te atienden y se nota que están por ayudar.
Yo he cruzado numerosos correos con ellos, rozando a veces el límite cansino, y son rápidos y razonables.


Justo lo contrario (creo que lo he comentado) que la gente de Comodo. Al menos en mi experiencia, ya sabréis a qué me refiero: parece que estás hablando sólo o con una máquina, puesto que obtienes respuestas "predeterminadas" digas tú lo que digas... no culpo a la gente que trabaja ahí, claro está.


Respecto a la validez de los certificados:

O sea que es conveniente que antes del vencimiento de la verificación (350 días) saquemos otro nuevo certificado, por lo que de alguna manera tendríamos cubiertos casi tres años.


Lo que yo he entendido es que los certificados duran ya un par de años, aunque no estoy muy seguro de esto. Lo que sí me queda más o menos claro es que esta empresa no cobra por los certificados, sino por el proceso de validación, de modo que, lo que habrá que hacer en un año, será volver a "autenticarse" con ellos y pagar la minuta por ello.


Ahora a seguir con la fase de crear los certificados, si encuentro algo nuevo que aportar en el procedimiento, lo añado luego.


A mí me costó un poco al principio, pero, una vez hecho, el asunto se reduce a usar algún archivo BAT, y, si usamos Inno Setup, configurarlo para que firme los instaladores y desinstaladores. En fin, yo de momento estoy contento con el resultado.

Hola a todos,

¡Esto es un no parar! Recibo un mensaje sobre la última actualización de Inno Setup (http://www.innosetup.com) indicando que ya viene preparado para la "doble firma" y con el enlace a un artículo donde se dice que Microsoft ya no soportará más el algoritmo SHA1 (http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx). Así que ahora tenemos que usar SHA2 o hacer lo mismo que Inno Setup hace, firmándose tanto con SHA1 como con SHA2.

El caso es que ayer quise conseguir un nuevo certificado en StartSSL que viniese ya con SHA2. Primero tuve que revocar el certificado anterior y esto ha tardado un día en llevarse a cabo, aunque sin ningún otro coste. Pero resulta que, aunque seguí los pasos que se indican en este artículo (http://www.cyotek.com/blog/creating-a-code-signing-certificate-with-startssl) y traté de usar SHA2 en OpenSSL, el asunto no ha funcionado.

Mi certificado sigue siendo SHA1, o sea, que he hecho un pan como unas tortas, como suele decirse. Así que me he puesto en contacto con StartSSL (les he enviado un formulario y parece ser que contactarán conmigo) preguntándoles cómo puedo crear un certificado que incorpore SHA2 en lugar de SHA1. Y ya veremos a ver qué me responden...

Tengo una duda, nose si es estúpida pero la tengo... Después si tienes que hacer unos cambios en tu software tendrías que refirmarlo supongo, entonces lo que hay que hacer si se tiene un certificado es implementar como un sistema de "plugins" y dejar la aplicación firmada como un "loader del software" por si así tienes que cambiar algo sea posible por ejemplo por DLL's, nose si me explico.

Hola,

No sé si lo entendí bien Reasen, pero, si hacemos algún cambio en un archivo EXE o DLL, necesariamente habremos de firmarlo de nuevo. Si no me equivoco, no es posible hacer un cambio sin "romper" la firma, puesto que esta garantiza de algún modo también eso mismo: que el archivo no ha sido modificado después de firmarse. Lo que yo hago es usar algunos archivos BAT que me firmen los ejecutables que crea Delphi, y, tengo Inno Setup configurado de forma que firme los instaladores (ejecutables) de mis programas.

P.D. Todavía no me han respondido desde StartSSL, no sé si volver a enviar el formulario o probar con el soporte "7/24" de su página web.

Vale, ya me solucionaste algunas dudas y bueno lo del soporte "7/24" te recomendaría hablar con alguien de esa web si se trata de un chat en tiempo real, sino pues será bastante lioso enviar otro "informe" sin resolver el anterior.

Vale, ya me solucionaste algunas dudas y bueno lo del soporte "7/24" te recomendaría hablar con alguien de esa web si se trata de un chat en tiempo real, sino pues será bastante lioso enviar otro "informe" sin resolver el anterior.

Sí; eso voy a hacer en cuanto tenga un poco de tiempo. Ya contaré qué tal me va. :)

Sí; eso voy a hacer en cuanto tenga un poco de tiempo. Ya contaré qué tal me va. :)

Hola Dec, estoy en la misma situación que tu, te han respondido ya la forma de tener el certificado con el agoritmo SHA2 y que puedan firmarse los ejecutables con el y los ejecutables se reconozcan como tal?
Yo por mas pruebas que hago no lo consigo.
En el momento que sale uno de Delphi........ que complicado es todo.
Gracias.

Hola,

Lamentablemente, esta gente de StartSSL no respondió mi petición de ayuda. Y, en el "chat de soporte", tampoco consiguieron solucionarme el problema. De hecho revoqué mi anterior certificado y me dieron otro nuevo, pero, se sigue usando el algoritmo SHA1 y no SHA2. La verdad es que ahora mismo no tengo tiempo en absoluto (estoy muy liado con cierta enfermedad aquí en casa) y por tanto no puedo ocuparme de este asunto como me gustaría.

Bueno creo que he encontrado dos soluciones posibles.
No es necesario solicitar ni renovar si no me equivoco el certificado, con esta linea se firma el ejecutable con SHA256

1ª solución:
signtool.exe sign /f "c:\fichero.pfx" /p paswword /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 /as /v "c:\fichero.exe"

Unicamente hay que cambiar el fichero.pfx por el tuyo, el password por el que tengas y el fichero.exe que deseas firmar.


2ª Solucion:
Yo antes firmaba con una herramienta (un ejecutable) gratuita que te da ksoftware. No se si está permitido poner link, si no se permite eliminalo por favor.
Como es gratuita lo pongo, entráis en esa página y mas abajo en una pestaña de cuatro que hay dice "Download Ksign (New!)" en color verde y ya unicamente es bajarla donde dice "Free Download" en color verde y viene en Español y todo es muy sencilla de manejar y ahora la han actualizado a SHA256.
Link de descarga: http://codesigning.ksoftware.net/

Bueno ya me comentareis compañeros.

Hola miado,

Muchas gracias. Parece que has dado con la tecla, puesto que acabo de probarlo y funciona perfectamente.

Muchas gracias de nuevo: a mí me has quitado un trabajo de encima y seguramente también a otros. :)

P.D. He probado con "signtool", puesto que el proceso lo tengo automatizado con dicha herramienta.

Buenas,
Me han mandado un mensaje automático para renovar el certificado, he entrado en la página y parece ser que hay problemas para renovarlo de momento, os ha pasado también a alguno con esta empresa StartSSL?.
Saludos Delphinianos.:)

Hola a todos,

Buenas,
Me han mandado un mensaje automático para renovar el certificado, he entrado en la página y parece ser que hay problemas para renovarlo de momento, os ha pasado también a alguno con esta empresa StartSSL?.
Saludos Delphinianos.:)

Hace poco me iba a caducar el certificado, y, me propuse actualizar. Sin embargo, no podía entrar en StartSSL con el certificado "de cliente" de siempre. Pensé en escribirles pidiendo ayuda, pero, resulta que he visto que yo puedo seguir usando el certificado "expirado"... esto es, pareciera que yo debo renovar la cuenta o la compra en StartSSL, pero, el certificado que uno compra es válido por dos años y no por uno, de modo que puede seguir usándose. Así lo estoy haciendo yo, como digo, sin problemas.

No sé si te valdrá de algo esta información. Yo también tendré que intentar "comprar" un nuevo certificado en su momento, cuando el que uso ahora ya no sea válido.

Muchas gracias David.
Si de momento seguiré utilizandolo así, si os enterais de algún sitio que sea barato para el próximo año, por favor, decidlo. He visto que en LatinSSL son a unos 88 dolares, pero no se el proceso que hay que realizar.
De todas formas voy a seguir así de momento y ya el año que viene veremos a ver como está.
Gracias y saludos a todos.

Muchas gracias David.
Si de momento seguiré utilizandolo así, si os enterais de algún sitio que sea barato para el próximo año, por favor, decidlo. He visto que en LatinSSL son a unos 88 dolares, pero no se el proceso que hay que realizar.
De todas formas voy a seguir así de momento y ya el año que viene veremos a ver como está.
Gracias y saludos a todos.

Cuando en su momento busqué sobre el tema el más barato que encontré fue StartSSL, pero, no sólo era cuestión de precio: el proceso de validación con StartSSL es relativamente sencillo, puesto que concluye con una llamada de teléfono, mientras que, en otros sitios, esto tenía que ir más allá y andar enviando papeles firmados por notarios y demás... todo esto hay que tenerlo en cuenta no vaya a costarnos más el notario que el certificado. Por otro lado, también está que StartSSL vende certificados válidos durante un par de años: igual otros sitios más baratos (si los hay) los ofrecen sólo para uno año...

Hola, antes de nada muchas gracias a todos por documentar el proceso :)

Hace una semana me he animado y estoy intentando firmar también mi programa utilizando un certificado clase 2 code signing de StartSSL. Después de pedirte sacarte la foto con el DNI y mandarle alguna factura para comprobar que efectivamente, eres quien dices, te validan. En mi caso no pudieron llamarme por teléfono ya que la dirección de la factura telefónica no corresponde con la de mi DNI. La solución que me dieron fue hacer una "recarga" en su pagina de 0.50$ mediante PayPal para dar el visto bueno.

El caso es que finalmente me han dado mi .CRT de certificado. Aquí viene mi problemilla que me trae loco. La gente del soporte tecnico de StartSSL muy bien, la verdad, pero sigo teniendo un problema a la hora de firmar mi setup.exe... Creo una llave privada .key, y un .CSR con su StartSSL Tool.exe, exporto el .PFX que pide Signtool.exe o la propia tool para firmar y firmo. El proceso lo hace correctamente, si veo las propiedades del archivo en Firmas Digitales veo que esta firmado. Peeeero... y aquí viene mi problema, al ejecutar el Setup.exe Windows 10 me sigue avisando de que el Editor es desconocido. Es decir no aparece mi nombre como firmante. Ayer estuve con el servicio 24h en chat 1 hora, utilice MMC para importar los dos certificados intermedios y el final de confianza que te envian, supuestamente así al volver a generar el PFX se solucionaría pero nada. Me remitieron a un correo electronico "más técnico", al que escribiré, pero quería comentarlo por aquí también por si alguno ha tenido el mismo problema. Veo que hablais sobre SHA2 en vez de SHA1... lo he intentado pero con el mismo resultado.

Mi programa queda firmado tal como se ve en sus "propiedades" de archivo pero al ejecutarlo: Editor desconocido igualmente :(

Alguien sabe algo?

Muchas gracias.

Hola,

Lamento no poder ayudarte demasiado, lago, porque, si tuviese que seguir de nuevo los pasos, creo tendría que aprenderlo todo de cero... y es que hace ya más de dos años o más que preparé el asunto, nunca lo había hecho antes, y, nunca lo he vuelto a hacer. Lo que me parece raro es que dices que el ejecutable aparece firmado... ¿qué otra cosa puede conseguirse además de eso? Quiero decir, ¿no debería ser esto suficiente? ¿Tal vez han cambiado las cosas, y, por algún motivo, los certificados de StartSSL ya no pasan algún tipo de filtro de Windows y de ahí el mensaje de autor "desconocido"? Pero, si esto último fuese así, no podrían vender los certificados tal cual los venden... porque no servirían de nada...

En fin, ya ves que no te ayudé nada. Como digo me extraña que si el archivo aparece firmado Windows se queje, por decirlo así... ¿ves algo raro en la pestaña "Detalles" del archivo? ¿Aparece tu nombre ahí?

Hola Dec, no te preocupes es normal, con el tostón que viene siendo mejor olvidarlo ;)

Estoy dandole mil vueltas y me parece que hay algo que hago mal... el exe aparece firmado, pero acabo de comprobar cuando pulso en Detalles de la firma que dice algo como "se proceso correctamamente una cadena de certificados pero temina en un certificado de raiz no compatible con el proveedor de confianza"... Reinstalare los certificados que me enviaron en el MMC y si sigue les enviare la captura a ver... pero entiendo que estará aquí el problema.

Gracias igualmente Dec, postearé en cuanto consiga arreglarlo "espero" ;)

Viva!, listo... la gente de StartSSL solo me envio un par de certificados intermedios y uno para la raiz de MMC. Me baje todos los que tienen en la pagina, los importé, volví a generar el PFX y aire.

Firmado! hurrah! ;)

Parece que los certificados de StartSSL dejarán de servir pronto:

Notice:
1.StartCom certificates issued after 26 of September 2017 will not be trusted on any platform.
2.StartCom is in process of regaining the trust to be included in all major browsers as trusted CA.
3.For now, StartCom is able to provide, trusted in all major browsers, SSL certificates for Class 3 (OV) and Class 4 (EV) paid users.
4.For a limited period of time StartCom offers identity validation or renewal of validation for free, except the cases when customer requests trusted SSL certificate/s.

¿Alguna alternativa sencilla de obtener y no muy cara?

Hola a todos,

Parece que los certificados de StartSSL dejarán de servir pronto:

Notice:
1.StartCom certificates issued after 26 of September 2017 will not be trusted on any platform.
2.StartCom is in process of regaining the trust to be included in all major browsers as trusted CA.
3.For now, StartCom is able to provide, trusted in all major browsers, SSL certificates for Class 3 (OV) and Class 4 (EV) paid users.
4.For a limited period of time StartCom offers identity validation or renewal of validation for free, except the cases when customer requests trusted SSL certificate/s.

¿Alguna alternativa sencilla de obtener y no muy cara?

¿No se ofrecerá ninguna alternativa por parte de esta misma gente? Ahora mismo es posible comprar un certificado como del que habalmos. Por cierto, que, yo debería renovarlo, puesto que hace dos años o por ahí que lo compré y todavía es válido y me hace su apaño: ¿no sería buena idea, si esta gente no ofrece otra alternativa, comprar el certificado ahora mismo? Al menos en mi caso, eso serían otros dos años de certificado...

Hola a todos,

¿No se ofrecerá ninguna alternativa por parte de esta misma gente? Ahora mismo es posible comprar un certificado como del que habalmos. Por cierto, que, yo debería renovarlo, puesto que hace dos años o por ahí que lo compré y todavía es válido y me hace su apaño: ¿no sería buena idea, si esta gente no ofrece otra alternativa, comprar el certificado ahora mismo? Al menos en mi caso, eso serían otros dos años de certificado...

Yo lo intentó hace unos meses y no funcionaba el procedimiento.

Pero aunque fuese así, no creo que sea solución ya que al verificar no los considerarían como emisores de certificados de confianza.

Hola a todos,

Yo lo intentó hace unos meses y no funcionaba el procedimiento.

Pero aunque fuese así, no creo que sea solución ya que al verificar no los considerarían como emisores de certificados de confianza.

Puede que lleves razón, pero, entonces, ¿cómo es que siguen vendiendo los certificados? ¿Están vendiendo algo que mañana no será válido? Creo que habría que contactar con el soporte de la empresa a ver qué dicen...

Buenas a tod@s
Yo estoy en la misma situación, me cumple el certificado y estoy buscando alguna empresa que ofrezca certificados de confianza y que sea fácil de gestionar y no muy caro, si encontráis alguna, por favor, decidlo, si encuentro yo alguna lo comunico también.
Gracias.

Hola a todos,

Buenas a tod@s
Yo estoy en la misma situación, me cumple el certificado y estoy buscando alguna empresa que ofrezca certificados de confianza y que sea fácil de gestionar y no muy caro, si encontráis alguna, por favor, decidlo, si encuentro yo alguna lo comunico también.
Gracias.

Personalmente, cuando se me caduque, intentaré de nuevo con la empresa de que venimos hablando en este hilo. Contactará primero a ver si hay algún problema de que vayan a cerrar o algo así, pero, intentaré hacerlo con ellos por dos razones: su precio, y, porque, me ha funcionado bien el certificado en cuestión. No creo que exista algo mejor de precio, puesto que estamos hablando de unos 60 dólares por un certificado para firmar código que puede durar al menos hasta dos años.

De modo que digo lo mismo que el compañero: si al final actualizo mi certificado actual (que tendré que hacerlo con esta u otra empresa) lo comentaré por aquí también.

Ya podrían los puñeteros de la FNMT gestionar el alta como entidad certificadora para la firma de código y todo sería más sencillo.
Ahora se puede, pero va a través de Ceres y vale muy caro.

Hola a todos,



Personalmente, cuando se me caduque, intentaré de nuevo con la empresa de que venimos hablando en este hilo. Contactará primero a ver si hay algún problema de que vayan a cerrar o algo así, pero, intentaré hacerlo con ellos por dos razones: su precio, y, porque, me ha funcionado bien el certificado en cuestión. No creo que exista algo mejor de precio, puesto que estamos hablando de unos 60 dólares por un certificado para firmar código que puede durar al menos hasta dos años.

De modo que digo lo mismo que el compañero: si al final actualizo mi certificado actual (que tendré que hacerlo con esta u otra empresa) lo comentaré por aquí también.

En estos casos el problema es que la autoridad certificadora necesita tener cierta fiabilidad para que pueda certificar de forma efectiva que eres quién dices ser.
Los sistemas de esta empresa son bastante sencillos, que no quiere decir que no sean suficientes, y esto puede ser que haya reducido la confianza de Microsoft, Mozilla, Oracle, etc.

Si no la reconocen como autoridad certificadora, no vendrán precargados en los almacenes de autoridad de sus softwares, y por lo tanto aunque te permitan firmar el código, al final aparecerá como un certificado de no-confianza. Algo similar a lo que sucede cuando firmas con el certificado de la FNMT.

Hola a todos,

En estos casos el problema es que la autoridad certificadora necesita tener cierta fiabilidad para que pueda certificar de forma efectiva que eres quién dices ser.
Los sistemas de esta empresa son bastante sencillos, que no quiere decir que no sean suficientes, y esto puede ser que haya reducido la confianza de Microsoft, Mozilla, Oracle, etc.

Si no la reconocen como autoridad certificadora, no vendrán precargados en los almacenes de autoridad de sus softwares, y por lo tanto aunque te permitan firmar el código, al final aparecerá como un certificado de no-confianza. Algo similar a lo que sucede cuando firmas con el certificado de la FNMT.

Es una cosa a tener en cuenta, ciertamente. Hasta ahora, es decir, el certificado que adquirí hace un par de años (es que yo creo que hace ya más de dos años...) parece funcionar bien en Windows 10. La verdad es que no soy ningún experto en este asunto y me temo que hay varios tipos de certificados, certificadoras, etc. Personalmente, me basta conque mi software no aparezca como "desconocido", puesto que, en Windows 10, el usuario ha de hacer varios "clics" hasta poder ejecutar un programa "desconocido".

Con lo dicho es suficiente para mí, aunque, igual no sea el mejor certificado del mundo. Pero llevas razón, Nasca, y, lo que dices hay que tenerlo en cuenta sin duda. De nada valdría un certificado, por barato que fuese, si no cumple lo dicho. Tocará preguntar cuando llegue el caso. A las malas, si no funcionase, tal vez se podría abrir una disputa en PayPal, o bien pedir la devolución del dinero. El tema es que el certificado que hasta ahora vendían parece funcionar bien. ¿No bastaría esto ya para asegurar certificados válidos al menos en Windows 10? O sea, ¿cuándo dejarían de ser válidos estos certificados? ¿En Windows 11? Pero este ni siquiera se ha publicado...

Hola a todos,

He buscado un poco y al cabo encontrado este artículo del blog de Microsoft (https://blogs.technet.microsoft.com/mmpc/2017/08/08/microsoft-to-remove-wosign-and-startcom-certificates-in-windows-10/), donde se comenta que, en efecto, van a dejar de soportar los certificados de la empresa de que hablamos:


Microsoft has concluded that the Chinese Certificate Authorities (CAs) WoSign and StartCom have failed to maintain the standards required by our Trusted Root Program. Observed unacceptable security practices include back-dating SHA-1 certificates, mis-issuances of certificates, accidental certificate revocation, duplicate certificate serial numbers, and multiple CAB Forum Baseline Requirements (BR) violations.

Thus, Microsoft will begin the natural deprecation of WoSign and StartCom certificates by setting a “NotBefore” date of 26 September 2017. This means all existing certificates will continue to function until they self-expire. Windows 10 will not trust any new certificates from these CAs after September 2017.

Microsoft values the global Certificate Authority community and only makes these decisions after careful consideration as to what is best for the security of our users.


No me queda claro si esto sirve para la "firma de código", pero, bien pudiera ser. Apunto esto aquí, porque, todo indica que habrá que buscar alguna alternativa a StartCom, seguramente, más cara.

P.D. Buscando en Google (https://www.google.es/search?q=code+signing+certificate), no obstante, parece que no será complicado encontrar algo con un precio similar: unos 70/80 euros anuales, que, tal vez sirvan para más, puesto que yo sigo usando un certificado de StartCom de similar precio, desde hace ya más de un año... incluso más de dos años... y es que no sé bien cómo funciona esto de los certificados, para qué engañar a nadie.

Hola a todos,

La siguiente página web: https://www.sslpoint.com/eu/code-signing/ ofrece certificados "Comodo" por 69 euros anuales, pero, ojo: este precio es "for a 3 years certificate", que, debe ser algo parecido a lo que ofrecía StartCom, esto es, por eso mi certificado, que, tiene más de un año, puede seguir firmando los ejecutables sin problemas. No sé si esta web será de fiar o no, pero, entiendo que sí, y, su precio, es muy similar al de StartCom, cuando no mejor, puesto que creo que en StartCom hablamos de un certificado válido por dos años, y, en este caso son tres años.

Hola a todos,

Confirmado: el certificado que adquirí en StartCom tiene una validad de dos años:

https://i.imgur.com/4XQ3jUo.png

Es decir, que, los certificados de Comodo que ofrece https://www.sslpoint.com/eu/code-signing/, parecen estar aún mejor de precio, pues, aunque el de StartCom son 60 dólares USD y el de esta última son 70 euros, esta última ofrece certificados con tres años de validez. Si no es esta alternativa que digo, será otra similar: creo que hay otras que ofrecen estos certificados de Comodo a un precio similar: unos 70 euros, que, como digo, "sirven" para tres años firmando código.

Me temo que para un certificado de 3 años tienes que multiplicar 69 * 3.
Lo que deja en 89 euros el certificado por 1 año de validez.

Hola a todos,

Me temo que para un certificado de 3 años tienes que multiplicar 69 * 3.
Lo que deja en 89 euros el certificado por 1 año de validez.

Pues, yo diría que eso no es así. En primer lugar, el certificado que uso ahora mismo tiene una validez de dos años, pero, yo paqué el precio que se pide en StartCom, si no recuerdo mal. También, en la página que yo enlazo, pone que el certificado es válido para tres años. ¿En qué te basas tú para decir que eso no es así?

https://i.imgur.com/iew4OqS.png

Ya... ya sé que pudiera ser que eso fuese el precio de oferta si se contratan tres años... llevas razón, también puede ser el caso. Pero, yo recuerdo pagar en StartCom por un certificado... y que este me va a durar dos años... de modo que no sé si estoy confundido, pero, creo que el certificado puede durar más de un año. Pero, lo cierto es que no estoy seguro: puedes llevar razón, ciertamente.

Hola a todos,

Me temo que para un certificado de 3 años tienes que multiplicar 69 * 3.
Lo que deja en 89 euros el certificado por 1 año de validez.

Vas a llevar razón Nasca,... todo indica que el precio al que se refiere es al de un año, pero, al contrario que en StartCom, ahí no se especifica que el certificado pueda firmar código durante dos años: ciertamente en StartCom se especifica esto concretamente. No es el caso de la empresa alternativa que yo he enlazado arriba, donde parece que el precio se refiere a un año, o, al menos, no se indica otra cosa. Igual este es el precio al que debamos acostumbrarnos...

Hola a todos,

Ya... ya sé que pudiera ser que eso fuese el precio de oferta si se contratan tres años... llevas razón, también puede ser el caso. Pero, yo recuerdo pagar en StartCom por un certificado... y que este me va a durar dos años... de modo que no sé si estoy confundido, pero, creo que el certificado puede durar más de un año. Pero, lo cierto es que no estoy seguro: puedes llevar razón, ciertamente.

En StarCom te limitaba el servicio de certificación a un año. Aunque el certificado te lo daban por un año, no podías solicitar otro certificado para ganar un año adicional cuando estaba a punto de caducar su servicio de certificación.

En este nuevo caso, si ellos te diesen el certificado por 3 años pagando un solo año, me temo que se estarían haciendo la trampa ellos mismos.

Hola a todos,

En StarCom te limitaba el servicio de certificación a un año. Aunque el certificado te lo daban por un año, no podías solicitar otro certificado para ganar un año adicional cuando estaba a punto de caducar su servicio de certificación.

En este nuevo caso, si ellos te diesen el certificado por 3 años pagando un solo año, me temo que se estarían haciendo la trampa ellos mismos.

No; Nasca. Vamos, creo que te equivocas: en StartCom, por el precio de 59 dólares, te daban un certificado válido por dos años: lo pone en su sitio web ahora mismo, y, yo mismo, estoy firmando código con dicho certificado, justamente, desde hace ya casi dos años.

https://i.imgur.com/CSE9oHL.png

El problema es que en esta alternativa de empresa no ponen eso, no especifican que el certificado dure dos años, de hecho, todo indica que se trata de un año, pero, con cierto descuento si pagas tres: lo que pasa puede inducir a error, puesto que es posible que un certificado pueda durar más de un año.

Pero ya digo... creo que este no es el caso... y que el precio que mencionan de 70 euros es si pagas tres años de certificado, que, sería válido para tres años. Ya digo, al contrario que en StartCom, donde pagas lo que te dicen y el certificado resulta ser de dos años: cuando uno pensaba en un año.

En conclusión, es más cara esta posible alternativa, según parece. Lo malo es que no creo que existan alternativas mucho mejores... :(

Hola a todos,

No; Nasca. Vamos, creo que te equivocas: en StartCom, por el precio de 59 dólares, te daban un certificado válido por dos años: lo pone en su sitio web ahora mismo, y, yo mismo, estoy firmando código con dicho certificado, justamente, desde hace ya casi dos años.


Efectivamente, eran dos años de certificado, pero yo intente volver a pedir de nuevo otro certificado antes de que pasara el año y así poder tener casi 3 años: un certificado inicial y otro al año, con dos años. Encadenando dos certificados tenia al final 3 años cubiertos.
Pero no fue posible. Evitaban de alguna manera que no recuerdo esa pequeña trampa.

De la opción que me comentas me preocupa el tema de la escala que ponen. De hecho su coste es sensiblemente inferior.
Aparte del procedimiento de certificación de identidad que tengan implantado. El de StarCom era bastante flexible y sencillo.

Todo se arreglaría si en Ceres-FNMT no quisieran cobrarte la cabeza por un certificado de este tipo y facilitasen un poco el emprendimiento aprovechando su infraestructura de identificación de identidades de los certificados de personas físicas. Pero claro, entonces el amigo de turno no se forraría.

http://www.cert.fnmt.es/catalogo-de-servicios/certificados-electronicos/certificado-para-firma-de-codigo

Por cierto en esa web veras el tema de limitación de precios según lo pagado. Esto es como el alojamiento o los dominios, si lo pagas por varios años tienen rebaja.

Y por cierto, a pesar de lo que cobran, dudo mucho que los certificados raíz de la FNMT estén incluidos de serie en los sistemas operativos Windows.

Hola a todos,

Efectivamente, eran dos años de certificado, pero yo intente volver a pedir de nuevo otro certificado antes de que pasara el año y así poder tener casi 3 años: un certificado inicial y otro al año, con dos años. Encadenando dos certificados tenia al final 3 años cubiertos.
Pero no fue posible. Evitaban de alguna manera que no recuerdo esa pequeña trampa.

Creo que llevas razón, Nasca, sin embargo, eso que "cito" no lo entiendo bien, pues, como digo, en StartCom pagabas 59 dólares y el certificado era válido por dos años. El certificado que uso ahora mismo es así, es decir, yo pagué 59 dólares y ahora está a punto de caducar: después de dos años. De hecho lo siguen poniendo en su web. Lo malo es que esta empresa, como apuntó el otro compañero, no va a poder usarse en adelante. :(

Buenas, mirando por ahí he visto esta empresa que ofrece certificados, no se si alguno la conocéis, el precio creo que son 94€ anuales, es algo caro pero asequible.
No sé si se podrá poner el link, lo pongo y si el moderador lo considera que lo quite.
Si alguno ha tenido experiencia con ellos, por favor, comentarlo.
Otra cosilla, como somo varios los interesados, no nos podría hacer una oferta al comprar varios?

bueno el link es este: https://www.redalia.es/ssl/comodo/comodocsc/

:)

Hola a todos,

Buenas, mirando por ahí he visto esta empresa que ofrece certificados, no se si alguno la conocéis, el precio creo que son 94€ anuales, es algo caro pero asequible.
No sé si se podrá poner el link, lo pongo y si el moderador lo considera que lo quite.
Si alguno ha tenido experiencia con ellos, por favor, comentarlo.
Otra cosilla, como somo varios los interesados, no nos podría hacer una oferta al comprar varios?

bueno el link es este: https://www.redalia.es/ssl/comodo/comodocsc/

:)

Parece que la empresa (https://www.sslpoint.com/eu/code-signing/) que he puesto yo arriba (que la encontré buscando en Google, vaya, tampoco le he dado muchas vueltas, pero, creo que el precio será similar...) es algo más barata: incluso si uno se decide por tres años de certificado, el precio se queda más arreglado. El único problema quizás sería adquirir un certificado por tres años... para que luego pasase lo que con StartCom... A ver si al final conseguimos algo curioso para todos. :)

Lo cierto es que es una buena opción siendo de aquí.

Voy a adquirirlo y os cuento.

Parece que la empresa (https://www.sslpoint.com/eu/code-signing/) que he puesto yo arriba (que la encontré buscando en Google, vaya, tampoco le he dado muchas vueltas, pero, creo que el precio será similar...) es algo más barata: incluso si uno se decide por tres años de certificado, el precio se queda más arreglado. El único problema quizás sería adquirir un certificado por tres años... para que luego pasase lo que con StartCom... A ver si al final conseguimos algo curioso para todos. :)

Aquí hay que valorar también la dificultad del proceso de verificación.
Entiendo que será más sencillo en la española ya que usará métodos más sencillos y adaptados.

Lo cierto es que es una buena opción siendo de aquí.
Voy a adquirirlo y os cuento.

Al final sale por 108 por 1 año.
Y no me fío, la verificación está asociada a un dominio. No termino de entender la relación entre la verificación de la identidad y el registro de un dominio.

Me parece que por ahora no voy a adquirir esta opción.

Hola a todos,

Al final sale por 108 por 1 año.
Y no me fío, la verificación está asociada a un dominio. No termino de entender la relación entre la verificación de la identidad y el registro de un dominio.

Me parece que por ahora no voy a adquirir esta opción.

Gracias por tu ayuda Nasca. Ciertamente, es algo en lo que no había pensado: StartCom verificaba llamando por teléfono, entre otras cosas. Lo de verificar mediante el registro de un dominio tampoco lo veo yo muy claro, puesto que, registrar un dominio no está verificado en sí mismo que yo sepa... por otro lado, si ellos proporcionan el certificado validado así... tal vez Microsoft o alguien se quejase, pero, hasta dicha queja tal vez el certificado fuese válido. De todas formas, parece que al final sale más caro de lo que anuncian: eso mismo ya no está bien.

Tengo yo que ponerme a ello también cuando tenga un poco de tiempo... el precio debería rondar los 70 euros, y, la forma de verificación, recuerdo que varía: en una que intenté antes de StartCom te pedían que tu número de teléfono y tu nombre estuviesen listado en las guías telefónicas (cosa que se consigue siendo el titular de la línea, ojo), y, algún recibo de la luz o suministro similar a tu nombre. No sé si lo del teléfono también te lo pedían porque fueran a llamarte, tal como lo hacía StartCom.

Lo de la verificación del dominio no lo veo Nasca: habrá que seguir buscando... :(

La verdad es que como dice el compañero para que salga mas económico hay que contratar dos o mas años.
Acabo de hablar con una empresa SSL247 que es Española y le he comentado que somos varios desarrolladores que estamos interesados en un certificado para firmar código. Me van a enviar documentación, cuando la tenga os la facilito.
saludos

Hola a todos,

La verdad es que como dice el compañero para que salga mas económico hay que contratar dos o mas años.
Acabo de hablar con una empresa SSL247 que es Española y le he comentado que somos varios desarrolladores que estamos interesados en un certificado para firmar código. Me van a enviar documentación, cuando la tenga os la facilito.
saludos

Gracias por la ayuda. :)

Yo he encontrado la empresa que iba a utilizar (es decir, la que encontré tras largas búsquedas como más interesante) antes de decidirme por StartCom: http://codesigning.ksoftware.net/

Los precios varían en función de los años: desde 70 euros por un año hasta 57 por cuatro años. Recuerdo que también me decidí por StartCom por su facilidad en su verificación: hay que revisar muy bien, por ejemplo, en esta última empresa que enlazo, qué es exactamente lo que necesitan para verificar nuestra identidad. En todo caso, al menos pagando con PayPal, no habría problema en la devolución del dinero si por cualquier motivo no podemos al cabo verificar nuestra identidad y por tanto obtener el certificado.

Espero a ver si el compañero miado consigue algo, pero, parece que alrededor de 70 euros (contratando por un año) es el precio que se estila ahora mismo.

Estoy curioseando en los almacenes de autoridades certificadoras (CA) de varias versiones de Windows.

StartCom parece que caduca el 17/09/2036. Y está en Windows 7, 10 y XP como CA.
Por lo que parece que a pesar de que esté caducado el certificado con el que se firma, el programa en teoría se puede seguir firmando y Windows lo reconocerá como correcto.
De todas formas no tengo claro que la nota de StartCom sea aplicable a los certificados de firma de código. Se lo he preguntado, si responden aviso.

Parece que GoDaddy también está como CA: https://es.godaddy.com/web-security/code-signing-certificate
Aunque sale algo caro hay que tener presente que no es para identificadores personales, es para identificadores de organizaciones:
https://es.godaddy.com/help/verificar-tu-solicitud-de-certificado-ssl-12127

Para este caso creo que los de Starcom siguen siendo válidos y son bastante más baratos.

Hola a todos,



Gracias por la ayuda. :)

Yo he encontrado la empresa que iba a utilizar (es decir, la que encontré tras largas búsquedas como más interesante) antes de decidirme por StartCom: http://codesigning.ksoftware.net/



Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

Hola a todos,

Estoy curioseando en los almacenes de autoridades certificadoras (CA) de varias versiones de Windows.

StartCom parece que caduca el 17/09/2036. Y está en Windows 7, 10 y XP como CA.
Por lo que parece que a pesar de que esté caducado el certificado con el que se firma, el programa en teoría se puede seguir firmando y Windows lo reconocerá como correcto.
De todas formas no tengo claro que la nota de StartCom sea aplicable a los certificados de firma de código. Se lo he preguntado, si responden aviso.

Parece que GoDaddy también está como CA: https://es.godaddy.com/web-security/code-signing-certificate
Aunque sale algo caro hay que tener presente que no es para identificadores personales, es para identificadores de organizaciones:
https://es.godaddy.com/help/verificar-tu-solicitud-de-certificado-ssl-12127

Para este caso creo que los de Starcom siguen siendo válidos y son bastante más baratos.

Pero, ¿qué pasa pues con el artículo que enlacé más arriba del blog de Microsoft?


Microsoft has concluded that the Chinese Certificate Authorities (CAs) WoSign and StartCom have failed to maintain the standards required by our Trusted Root Program. Observed unacceptable security practices include back-dating SHA-1 certificates, mis-issuances of certificates, accidental certificate revocation, duplicate certificate serial numbers, and multiple CAB Forum Baseline Requirements (BR) violations.

Thus, Microsoft will begin the natural deprecation of WoSign and StartCom certificates by setting a “NotBefore” date of 26 September 2017. This means all existing certificates will continue to function until they self-expire. Windows 10 will not trust any new certificates from these CAs after September 2017.

Microsoft values the global Certificate Authority community and only makes these decisions after careful consideration as to what is best for the security of our users.


Yo, desde luego, sigo firmando con mi certificado actual (comprado hace casi 2 años en StartCom) y todo parece ir bien, pero, claro, estamos planteando la posible compra de otro certificado, o, de la renovación de uno caducado. No sé yo... no me queda claro el asunto. Recuerdo que tú iniciaste el tema de nuevo a partir de una nota de StartCom (si no me equivoco), pero, ¿y lo del artículo de Microsoft arriba citado? :rolleyes:


Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

Bien visto eso.

Respuesta de StartCom:

Thank you for your message. Certificates issued from Startcom roots after 26/9/2017 are not valid on any platform. (including Code signing certificates)

Me parece que me voy a arriesgar a seguir firmando igualmente con el certificado caducado (caduca el 14/12/2017). No debería dar problemas para autentificar identidad y evitar las modificaciones del ejecutable por posibles virus.

Hola a todos,

Yo, desde luego, sigo firmando con mi certificado actual (comprado hace casi 2 años en StartCom) y todo parece ir bien, pero, claro, estamos planteando la posible compra de otro certificado, o, de la renovación de uno caducado. No sé yo... no me queda claro el asunto. Recuerdo que tú iniciaste el tema de nuevo a partir de una nota de StartCom (si no me equivoco), pero, ¿y lo del artículo de Microsoft arriba citado? :rolleyes:

La verdad es que no había vista esta información.
Ahora ya tengo clara la razón de que no vaya a ser válidos: ya no los consideran como empresas certificadores de confianza :(
Pero claro los de StartCom se lo callaban.

Hola a todos,

La verdad es que no había vista esta información.
Ahora ya tengo clara la razón de que no vaya a ser válidos: ya no los consideran como empresas certificadores de confianza :(
Pero claro los de StartCom se lo callaban.

Joroba, no es que se lo callasen... es que ahora mismo se lo están callando, puesto que siguen vendiendo certificados. No entiendo nada. :(

Me tienen mosqueado los certificados de Comodo.

No me aparecen como autoridad certificadora en XP, cosa razonable, pero es que tampoco lo hacen en Windows 10.
Si los encuentro en Windows 7.

¿Podéis comprobarlo también vosotros en vuestros SO?

Si es así no van a valer realmente para mucho.

Instrucciones para verlos de forma sencilla en MMC: https://msdn.microsoft.com/es-es/library/ms788967(v=vs.110).aspx

Hola a todos,

No sé si lo estaré mirando bien, creo que sí, y, aparece "Comodo" por aquí...

https://i.imgur.com/8b2BTvd.png

Esto es en Windows 10 Pro de 64 bits.

Si es ese, en mi instalación no venía incluida, supongo que es porque se ha actualizado en tu caso con alguna actualización posterior.

Bueno, me han contestado de ssl247.es, les he comentado que estamos varios desarrolladores interesados. Esto es lo que me contestan:

Buenas tardes Miguel Angel,

Como comentado, te hago llegar cotización para un Code Signing de Comodo:

Comodo Code Signing Precio SSL247 Precio por año
2 años € 130.00 € 65.00

Indico los puntos del servicio:
• Un experto dedicado, disponible en línea directa ,tanto comercial como técnico (900 838 451)
• Servicio profesional, reactivo y dinámico en español.
• Gestión del conjunto de sus certificados en un único portal protegido: compras, remisiones y renovaciones.
• Tarifas competitivas sobre el conjunto de nuestra gama.
• 30 días de garantía de devolución
• Varios métodos de pago: transferencia a 21 días, tarjeta.
• Nosotros hacemos el pedido y les guiamos para cualquier incidencia.
• Asesoría y consultoría
SSL247 somos el mayor distribuidor en Europa de certificados del grupo Symantec ( VeriSign – Thawte - GeoTrust ), GlobalSign, Comodo y Entrust, estamos acreditados tanto como Platinum Partner como EMEA Symantec Champion.


Para cualquier aclaración no dudes en contactarme.

Quedo atenta a tus comentarios.

Muchas gracias,

Un saludo.
Ester


Como lo veis, yo particularmente me parece bien, voy a ver que es lo que tengo que enviarles para validar, como son de España les voy a proponer si vale con el certificado de empadronamiento del ayuntamiento, sería lo lógico.

Al final he elegido Thawte con ssl247.es, pero certificado de organización. El de persona física de Comodo no lo he visto y prefiero usar con nombre de empresa.

Han sido muy amables y la comunicación ha sido en castellano con un gestor de cuenta asignado. Han resuelto incluso las incidencias por no entender inglés con Thawte. La verificación muy sencilla.

Al comentarle de ser operador intracomunitario el coste final ha sido 239 euros por un certificado con validez para un año facturados desde Francia. Por encima de lo que esperábamos y costaba en StartCom, pero en la línea de lo que aparece en el mercado. Aunque en otros sitios que gestionan en inglés parece que tienen precios más bajos.

En Godaddy empecé la gestión y como no la seguí me mandaron un correo ofreciendo un descuento, revisad si os interesa más.

Como el año que viene no me voy a acordar de nada he recopilado la experiencia en un artículo: Obtención de certificados para firma de ejecutables (https://criterium.es/article/obtencion-certificados-para-firma-ejecutables)

Por ahora, salvo que haya algún problema, cierro el tema hasta el año que viene :)

Suerte y ya contaréis vuestras experiencias.

Hola a todos,

Al final he elegido Thawte con ssl247.es, pero certificado de organización. El de persona física de Comodo no lo he visto y prefiero usar con nombre de empresa.

Han sido muy amables y la comunicación ha sido en castellano con un gestor de cuenta asignado. Han resuelto incluso las incidencias por no entender inglés con Thawte. La verificación muy sencilla.

Al comentarle de ser operador intracomunitario el coste final ha sido 239 euros por un certificado con validez para un año facturados desde Francia. Por encima de lo que esperábamos y costaba en StartCom, pero en la línea de lo que aparece en el mercado. Aunque en otros sitios que gestionan en inglés parece que tienen precios más bajos.

En Godaddy empecé la gestión y como no la seguí me mandaron un correo ofreciendo un descuento, revisad si os interesa más.

Como el año que viene no me voy a acordar de nada he recopilado la experiencia en un artículo: Obtención de certificados para firma de ejecutables (https://criterium.es/article/obtencion-certificados-para-firma-ejecutables)

Por ahora, salvo que haya algún problema, cierro el tema hasta el año que viene :)

Suerte y ya contaréis vuestras experiencias.

Gracias por compartir tu experiencia Nasca. Yo lo veo un poco caro, la verdad: hay que pensar que vengo de pagar 60 dólares hace casi dos años, con los que he tenido (de hecho todavía tengo) la posibilidad de firmar el código que necesito. Claro, entre unos 55 euros por dos años y 239 por uno... la diferencia no es poca. Ya contaré yo qué hago al final, puesto que, el certificado de que dispongo caduca en enero del año que viene, o sea, de aquí a nada. :)

Gracias por compartir tu experiencia Nasca. Yo lo veo un poco caro, la verdad: hay que pensar que vengo de pagar 60 dólares hace casi dos años, con los que he tenido (de hecho todavía tengo) la posibilidad de firmar el código que necesito. Claro, entre unos 55 euros por dos años y 239 por uno... la diferencia no es poca. Ya contaré yo qué hago al final, puesto que, el certificado de que dispongo caduca en enero del año que viene, o sea, de aquí a nada. :)


Sin duda alguna es caro. Al final te queda una sensación rara y la sospecha de un chantaje :(

Está claro que la firma te da ciertas garantías de que nadie ha modificado tu software y cierta tranquilidad ante el cliente por infección del mismo, pero eso igualmente se puede conseguir con un certificado auto-generado.

Estos sistemas solo añaden un intermediario que verifica que eres quien dices ser. Lo que puede hacerse también de forma muy laxa.

Esta verificación también podría hacerse a través de la FNMT. Solo tendrían que gestionar desde ese organismo su preinstalación en Windows como autoridades de verificación con la propiedad de firmar código.

Pero claro, aparte de que nuestros políticos están más preocupados por robar, detrás de esta historia hay un gran negocio para algunas empresas que posiblemente paguen por venir pre-instaladas en Windows.

Cuando caduque mi certificado de StartCom trataré de seguir firmando con el mismo, si SignTool lo permite, una opción será seguir firmando con certificados caducados. Pero dudo que esa opción sea posible.

Buenas,
No he podido escribir antes porque esta semana he estado bastante liado.

Al final me me indica Ester de ssl247 lo necesario para el certificado de comodo firma de código, qué, aunque no está en su página parece que lo gestionan, esto es lo que me ha solicitado:

Hola Miguel Angel,

Sí, es para firmar los ejecutables exe.

Para tramitar, necesitamos la siguiente información:

*. Datos de contacto técnico
*. Datos de contacto administrativo
*. CSR
*. Datos de facturación.


Quedo atenta para cualquier duda.


Le he facilitado toda la información incluido el fichero CSR que ya casi no me acordaba de generarlo y estoy a la espera.
Os seguiré informando.
Saludos a todos.

En mi caso también me atendió Ester.
Fue muy amable y todo se resolvió rápida y de forma correcta.

Hola a todos,

He recibido este correo hoy de StartCom:



StartCom temination announcement

Dear customer,

As you are surely aware, the browser makers distrusted StartCom around a year ago and therefore all the end entity certificates newly issued by StartCom are not trusted by default in browsers.

The browsers imposed some conditions in order for the certificates to be re-accepted. While StartCom believes that these conditions have been met, it appears there are still certain difficulties forthcoming. Considering this situation, the owners of StartCom have decided to terminate the company as a Certification Authority as mentioned in Startcom´s website.

StartCom will stop issuing new certificates starting from January 1st, 2018 and will provide only CRL and OCSP services for two more years.

StartCom would like to thank you for your support during this difficult time.

StartCom is contacting some other CAs to provide you with the certificates needed. In case you don´t want us to provide you an alternative, please, contact us at certmaster@startcomca.com

Please let us know if you need any further assistance with the transition process. We deeply apologize for any inconveniences that this may cause.

Best regards,

StartCom Certification Authority


Vamos, que, definitivamente, cierran la empresa. :(

Hola a todos,

Acabo de acordarme porqué no elegí "Comodo" en su momento para adquirir el certificado: porque no pude hacerlo. No sé exactamente si era porque me faltaban algunos requisitos previos (de aquellas no podía presentar una factura de la luz a mi nombre, por ejemplo), de modo que me solicitaron que fuera a un notario o un abogado (en serio), y, aunque lo intenté en un notario (en serio), el buen hombre no sabía ni de lo que le estaba hablando, y, finalmente, no pudo llevarse a cabo el trámite.

Ahora estoy en disposición de poder presentar facturas de la luz, así como de otros suministros, de modo que, ignoro si el paso por el notario (en serio) seguiría siendo necesario. Creo que voy a intentar con Comodo a través de ssl24.es o de otro de sus "partners", puesto que es de lo más barato que hay. Ya os contaré cómo va el asunto, si lo puedo conseguir, y, qué documentación ha sido necesaria aportar, etc.

No sé si lo haré a través de ksoftware.net o de ssl24.es, puesto que, en el primer caso, estoy seguro de que, si algo va mal (por ejemplo, si fuese obligatorio acudir a un notario...), esta gente te devuelve el dinero sin problema alguno. Pero, por otro lado, puesto que el precio es el mismo o muy similar, tal vez convenga más intentarlo con ssl24.es, pues, como decís, la comunicación es en castellano, lo que puede ser útil.

En fin, ¡ya os contaré! No puedo dejarlo pasar mucho más tiempo, porque, mi certificado actual caduca el mes que viene, y, al final me va a pillar el toro. :)

Hola a todos,

Hay que jorobarse. El precio que anuncian en ssl24.es para los certificados Comodo no aparece luego por ningún lado. Por otro lado, mirando en k-software.net, he topado con lo del "notario", y, esto parece servir para todos los certificados de Comodo, los venda ssl24.es, k-software.net o cualquier otro:



If you are ordering a code signing certificate as an individual (the publisher name being your name), you'll be asked to provide some the following :

Copy of a valid driver’s license or passport of the domain name registrant
Copy of a recent phone bill of the domain name registrant
Copy of a recent major utility bill (i.e. power bill, water bill, etc.) or bank statement of the domain name registrant
(Any bills submitted need to be dated within the last 6 months)
You will also be asked to complete the "face to face" verification documented in the Comodo Support Center here



En mi caso lo de arriba es lo que es menester, es decir, no quiero pedir un certificado como empresa, sino como particular. Sin embargo, la línea resaltada indica, que, aún en este caso (un certificado para un particular), puede ser necesaria la verificación "face to face" de Comodo, o sea:


Face to Face for OV and Code Signing

Form to be filled out by applicant and supporting documentation and signature to be notarized or signed by a licensed attorney or Certified Public Accountant or equivalent.


... lo del notario o abogado... Arriba he dicho que llegué a ir a un notario en su momento. Ahora recuerdo que también fui a un abogado. En ningún caso supieron o quisieron ayudarme, por no mencionar que eso incrementa el precio del dichoso certificado...

O sea, que, o mucho me equivoco, o no voy a poder usar Comodo, pues la validación esta "face to face" está fuera fuera de mi alcance: no pienso ir de nuevo a notario ni abogado alguno, porque, va a resultar una pérdida de tiempo, y, en el mejor de los casos, más dinero a gastar.

Y ahora es cuando digo que no sé qué demonios voy a hacer... tocará pagar, supongo, a otra certificadora que no pida algo como la prueba esta "face to face" que parece requerir Comodo. Certificadora que será más cara, por supuesto.

¡Voy a echar de menos a StartCom, más barata y sin tantas trabas! De acuerdo que tal vez por esto, precisamente, han tenido que cerrar... estoy de acuerdo. ¿Pero qué necesidad hay de ir a un abogado o notario (por otro lado, esta gente se cree que todo el mundo es norteamérica... yo consulté a un abogado y a un notario y no supieron o no quisieron ayudarme, ni sabían de lo que estaba hablándoles...)?

En fin... esto es lo que hay... :(

Hola a todos,

Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

O sea... que ya lo habías comentado tú Nasca...

Hola a todos,

Cada vez estoy más pez en todo esto: señal, acaso, de que me importa un pimento... y de que lo hago sólo por obligación. Si no me equivoco, ahora, después de leer sobre el asunto, mi problema con Comodo, es decir, el hecho de que me solicitasen una "nota legal" de un abogado o notario (madre mía... esta gente... ¡no conoce a los abogados y notarios españoles!), mi problema, digo, creo que fue no poder cumplir con otro de los requisitos de Comodo: que tu número de teléfono aparezca listado en la guía de teléfonos de tu país.

Al no poder conseguir (en su momento) dicho requisito, quiero recordar, fue cuando me pidieron lo de la "nota legal". Dicho de otro modo, creo que Comodo ofrece certificados de firma de código para individuos, además de para empresas. Como ahora tengo mi número de teléfono listado, además de los otros datos que te piden (facturas, etc.), tal vez la "nota legal" no sea ya necesaria. De modo que es esto lo que voy a intentar: voy a probar con algún "partner" (más barato) de Comodo, a ver si esta vez lo consigo...

Esto, además de un sacacuartos (que vale, que se puede entender, no estoy completamente en desacuerdo con algo así), es un lío de narices, y, a cada paso que doy me entero de cosas nuevas. Y es que es así... hace ya casi dos años que compré mi primer certificado. Ahora mismo no sabría ni cómo usar uno nuevo para finalmente "firmar mi código", que, es de lo que se trata.

Espero que otros compañeros sean más inteligentes que yo, lean bien las "instrucciones", y, las entiendan. Yo reconozco que desvarío, porque, habiéndome informado, parece que sé muy poco de este asunto: señal, acaso, de que en realidad me importa un pimiento, como he dicho. Mal por mí: porque debería importarme.

En fin, lo dicho, ya os contaré cómo acaba la cosa.

Hola a todos,

Al final he elegido Thawte con ssl247.es, pero certificado de organización. El de persona física de Comodo no lo he visto y prefiero usar con nombre de empresa.

Nasca, ¿qué significa aquí "empresa"? ¿Un autónomo es una "empresa" en este caso?

Hola...

Dec, lo del notario, me imagino que solo necesita certificar que eres tú la persona que está haciendo el trámite correspondiente, y para esto Comodo proporciona tanto instrucciones como el formato a llenar por el notario: Comodo Face-to-Face Verification Instructions (https://www.ssls.cz/download/evdocs/Comodo_Face-to-Face_Verification_Instructions.pdf).

Saludos...

Hola a todos,

Hola...

Dec, lo del notario, me imagino que solo necesita certificar que eres tú la persona que está haciendo el trámite correspondiente, y para esto Comodo proporciona tanto instrucciones como el formato a llenar por el notario: Comodo Face-to-Face Verification Instructions (https://www.ssls.cz/download/evdocs/Comodo_Face-to-Face_Verification_Instructions.pdf).

Saludos...

Sí; lo sé. Ahora vete con esos "papeles" a que te ayude un notario o un abogado... al menos aquí donde yo vivo... y... en el caso de que entiendan el asunto, puedan ayudarte y quieran hacerlo... prepara la cartera, por supuesto. :( :(

Cuando yo fui no hubo manera: no supieron y/o no quisieron ayudarme. Not to mention that the Comodo papers are in english... otra dificultad añadida: ¿es válido un documento en español? ¿Hay que traducirlo? Prepara la cartera de nuevo...

Y además hipotécate para poder firmar tu código, porque, ¿quieres repetir la misma operación todos los años? Entonces, compra el certificado por dos, tres o cuatro años... evitando así este trámite... y prepara la cartera, por supuesto.

Hola a todos,

Pasando de la "nota legal" que exige Comodo, he iniciado la compra de un certificado de Thawte a través de leaderssl.es.

Ya os contaré en qué queda la cosa y los procesos dados para conseguirlo... o no... :rolleyes:

Hola a todos,

Hola a todos,

Pasando de la "nota legal" que exige Comodo, he iniciado la compra de un certificado de Thawte a través de leaderssl.es.

Ya os contaré en qué queda la cosa y los procesos dados para conseguirlo... o no... :rolleyes:

No ha habido "suerte". Me piden un número "DUNS". Sólo una empresa puede proporcionar números "DUNS" en España: informa.es. Ya lo he solicitado y me han pedido el modelo 036 ó 037 de alta en autónomos. Se supone que después de esto me darán un número "DUNS", gratuitamente. Con dicho número "DUNS" podré por fin acceder al certificado de marras,... espero... ya os contaré. :rolleyes:

Hola a todos,

Sigo dando pasos con este asunto. Lo primero, ya tengo mi número DUNS, proporcionado por la empresa / sitio web informa.es.

Han sido muy amables, no han tardado prácticamente nada, y, de hecho, si no llega a ser porque cometí un error al enviarles la documentación requerida (se me olvidó un documento, simplemente), hubiera tenido el número DUNS en cuestión de un par de días.

Con este número se supone que ya podré obtener un certificado: ya contaré aquí cómo va todo.

P.D. Sigue sin gustarme nada todo esto: para obtener un número DUNS uno tiene que ser autónomo (aquí en España), o, lo que es lo mismo, quienes no lo sean, no van a poder obtener dicho número, ni, por tanto, un certificado para firmar su código. Me parece lamentable, pero, así están las cosas. :(

Hola a todos,

¡Finalmente he conseguido el certificado de marras! He comprado uno de Comodo válido por dos años a través de leaderssl.es por 159 euros sin IVA. Ni notario, ni abogados, ni gaitas. La clave, parece haber estado, en el número DUNS. Una vez leaderssl.es comprueba el número DUNS que le proporcionemos, procede con la orden a Comodo, y, estos, con dicho número y los datos que obtienen a partir del mismo, básicamente, el número de teléfono, te preparan para una "llamada de teléfono de verificación". En mi caso dicha llamada ha sido automática, y, únicamente, me han proporcionado un "código de verificación", un número, que, después he tenido que incluir en cierto formulario HTML al que te envía Comodo: desde dicho formulario uno puede "iniciar la llamada de verificación" y añadir el código de verificación que se obtiene.

Al minuto de haber hecho eso ya me había llegado otro correo de Comodo con un enlace para instalar el certificado en el navegador: de ahí se hace un "backup" del mismo, obteniendo el archivo ".p12", que, renombrado a ".pfx", ya podemos usar para firmar programas.

Al final ha sido relativamente barato, puesto que, a través de un "revendedor" los certificados de Comodo cuestan unos 80 euros anuales. El problema ya no es tanto el precio (aunque esto dependerá de cada quién) sino el conseguir el número DUNS... o poder "cumplir" con los otros posibles requisitos si es que no se dispone de dicho número. En definitiva, que, sigue pareciéndome mal todo esto, puesto que, yo mismo, por ejemplo, no tenía ni acaso podía tener número DUNS hace un par de años, y, los requisitos que pedían de otro modo (notario, abogado...) eran complicados, por decirlo así.

Por lo demás, os animo a que uséis un "reseller", y, acaso de los más baratos que podáis encontrar: quiero decir, que, quien te atiende al final es la propia Comodo... y el certificado que obtienes es exactamente el mismo (si no me equivoco, desde luego, "firma" bien... que es lo que yo quiero) como si se comprase desde la misma Comodo. De hecho, curiosamente, recibí hace poco un correo de StartSSL.com, diciéndome que, como ellos "cesaban la actividad", me recomendaban una empresa "certificadora".

Dicha empresa resultó ser española, y, cobra los certificados a 400 euros anuales... esto es una barbaridad, directamente: un "reseller" de Comodo (ya no LeaderSSL, pero, cualquier otro) ofrece certificados por unos 80 euros anuales... no sé vosotros, pero, 320 euros de diferencia, es mucho dinero para al final obtener lo mismo.

¡En fin! ¡Eso es todo! Si tenéis alguna pregunta sobre el tema, y, puedo responder, estaré encantado de hacerlo. :)

P.D. He dicho que podéis usar cualquier "reseller"... y lo mantengo, pero, quiero añadir que en LeaderSSL.es se han portado estupendamente, con una comunicación muy fluida (en inglés) mediante correo electrónico.

Hola de nuevo,

El compañero miado ha mencionado ssl247.es previamente para adquirir certificados de Comodo: este "reseller" parece algo más barato que LeaderSSL.es: yo no lo dudaría y compraría en ssl247.es, pues, como digo, al final compras lo mismo.

Esta información es muy útil, la guardaré para un futuro :)

Esta información es muy útil, la guardaré para un futuro :)

:) :) :) :)

Hola Dec, antaño seguía tus peripecias para conseguir el certificado en StartCom, al final conseguí el mio.... también me ha llegado el mismo correo de que cerraban el tinglado. Viendo de nuevo tus peripecias para conseguir OTRA VEZ el ***o certificado me entra una pereza enorme tio pfff ...

Entiendo esta vez que sin el número DUNS ese nanai... y para conseguirlo: alta en autonomos... pues nada, de momento lo que dure el de StartCom...

Siempre trabas macho...

Me alegro de que lo volvieses a conseguir! ya tenia este hilo en favoritos, vuelvo a darle! ;)

Hola a todos,

Hola Dec, antaño seguía tus peripecias para conseguir el certificado en StartCom, al final conseguí el mio.... también me ha llegado el mismo correo de que cerraban el tinglado. Viendo de nuevo tus peripecias para conseguir OTRA VEZ el ***o certificado me entra una pereza enorme tio pfff ...

Entiendo esta vez que sin el número DUNS ese nanai... y para conseguirlo: alta en autonomos... pues nada, de momento lo que dure el de StartCom...

Siempre trabas macho...

Me alegro de que lo volvieses a conseguir! ya tenia este hilo en favoritos, vuelvo a darle! ;)

Lamentablemente, el número DUNS parece imprescindible: lo que es una puñeta. Ignoro si podrá conseguirse el número DUNS sin estar dado de alta como autónomo. Tal vez desde otro país, puesto que, desde España, este número parece que sólo lo proporciona la empresa "informa.es", y, aunque muy amables y rápidos, te piden documentos relacionados con el alta como autónomo.

Ignoro dos cosas: si puede conseguirse el número DUNS a través de otro país o sitio web, sin que sea necesario el alta como autónomo. También ignoro si alguna "certificadora" no lo requiere, o bien si algún "reseller" no lo requiere. Desde luego en "leaderssl.es" lo requieren tanto para certificados de Thawte como de Comodo.

Por otro lado, la cosa está en que parece que hay "certificadoras" que han dejado de ofrecer certificados "para personas", sin embargo, tal vez por aquí también puedas intentar algo: buscando alguna "certificadora" (tipo Comodo, etc.) que sí que sirva a personas y no sólo a "empresas".

Buenas,
Conseguir el certificado es ahora un poco mas laborioso que antes, a mi no me ha hecho falta el número DUNS, ya que lo que he comprado es un certificado de firma de código personal, lo que si he tenido que hacer es ir a un notario para que diera fé de que los documentos que le presentaba corresponde a mi y que soy yo la persona que los presenta, tuve que llevar el dni, recibo de internet, un recibo de banco donde figure la vivienda ...etc, te lo dicen en esta empresa ssl247.es y además son bastante amables, di que vas de parte de Club delphi, así lo hice yo.
En definitiva el abogado por dar fe en un día me cobró 50€ y el certificado creo recordar que son mas o menos 150€ para dos años.
Saludos.

Hola a todos,

Buenas,
Conseguir el certificado es ahora un poco mas laborioso que antes, a mi no me ha hecho falta el número DUNS, ya que lo que he comprado es un certificado de firma de código personal, lo que si he tenido que hacer es ir a un notario para que diera fé de que los documentos que le presentaba corresponde a mi y que soy yo la persona que los presenta, tuve que llevar el dni, recibo de internet, un recibo de banco donde figure la vivienda ...etc, te lo dicen en esta empresa ssl247.es y además son bastante amables, di que vas de parte de Club delphi, así lo hice yo.
En definitiva el abogado por dar fe en un día me cobró 50€ y el certificado creo recordar que son mas o menos 150€ para dos años.
Saludos.

En efecto, se me olvidó comentar la posibilidad que refieres, miado. El "problema" es que algunas certificadoras ya no sirven certificados a "personas", sólo a "empresas". Ahora bien, si encontramos alguna certificadora que sirva a "personas", entonces, el número DUNS ya no es necesario, pues no es necesario ser "empresa".

Otra cosa es que el número DUNS lo usan ellos, según parece, para facilitarles el comprobar datos como el número de teléfono, etc. ¿Qué quiero decir? Pues que, si no se dispone de número DUNS, el proceso puede ser más laborioso, pero, para certificados "personales", al menos existe la posibilidad, tal como ha explicado miado.

Ahora bien, ya comenté antes que lidiar con abogados y notarios puede ir más allá de, simplemente, pagar por sus servicios. Yo visité en su día a un abogado y un notario y ninguno supo o quiso ayudarme. ¡Ni pagando! :(

Buenas tardes Nasca:

Esto de firmar con el certificado de la empresa ¿Es todavía posible?

Si es posible.
Yo al menos sigo usando el mismo método que se explicó en su día.

Buenos dias Nasca
Y me puedes decir cuales son los pasos a seguir para firmar el ejecutable con el certificado de la FNMT


Gracias de antemano y saludos

Buenos dias Nasca
Y me puedes decir cuales son los pasos a seguir para firmar el ejecutable con el certificado de la FNMT




Revisa esta información: http://criterium.es/article/obtencion-certificados-para-firma-ejecutables


Y como verás, no te recomiendo que uses el certificado de la FNMT: http://criterium.es/article/errores-por-firma-ejecutables-con-certificado-fnmt

Hola de Nuevo Nasca:


Antetodo muchas gracias por la información.


No me recomiendas usarlo, pero tu los usas ¿no?

No, uso uno de las empresas especializadas en estos certificados para firma de código: https://www.ssl247.es/

Hola Nasca


Ah vale, si lo acabo de leer en el enlace que me mandaste.


Gracias por todo

Hola a todos,

Este hilo está relacionado y acaso pueda resultaros interesante. (https://clubdelphi.com/foros/showthread.php?t=96198)