Tema: Ley antifraude 2021 (VERIFACTU) - Programas informáticos
Ver Mensaje Individual
  #1049  
Antiguo 04-01-2024
antoine0 antoine0 is offline
Miembro
  
Registrado: oct 2021
Posts: 144
Reputación: 3
antoine0 Va por buen camino
Cita:
Empezado por ermendalenda Ver Mensaje
Hay una cosa que me preocupa, los que usamos curl (EN API O EN CURL
EXE). Al par3cer tiene fexha de caducidad el certificado para usarlo, más concretamente en 2028, no he encontrado la renovación y al ser una herramienta gratuita no tengo ni idea de que harán, a ver si alguien me puede dar luz sobre este asunto.
Si usáis curl, probad a usarlo cambiando la fecha de vuestra máquina a 2029.
Acabo de descargar curl para Win64, la versión mingw build 8.5.0_4 de https://curl.se/windows/. Se ha generado el 6/12/2023, con un certificado de firma con validez 17/1/21-17/1/24 (o siga caduca dentro de dos semanas) que depende de un certificado raíz de validez 2021-2026, sin marca de tiempo (para hacer programas reproducibles, es decir independiente de la hora de generación, ver último punto de esta lista).
No veo problemas en el horizonte 2028, pero sí veo problemas...
Problema 1º, depende de un certificado raíz que no está registrado en la mayoría de los ordenadores; solución: a la instalación hay que registrar este certificado raíz en los ordenadores del cliente (y ser consciente de las implicaciones a nivel de seguridad)
Problema 2º, ¿qué pasará cuando caducan los certificados? A no tener marca de tiempo, Windows se quejará del problema de seguridad (posiblemente sin dar posibilidad de forzar la ejecución, p.e. en Win11) solución: actualizar siempre cURL a la última versión...

También tengo otra versión 7.5 más antigua (2016) que no vienen directamente de curl.se pero de web.de (tiene opciones que me sirven para determindo proyecto). Esta está firmada con un certificado de validez 14/9/2016-14/9/2017, es decir caducado desde hace mucho tiempo; pero esta versión ¡tiene marca de tiempo! Por tanto allí no hay quejas, la firma de código sigue válida (si la raíz está autorizada) y no veo

Visto la fecha de caducidad del certificado de "curl-for-win Code Signing Authority", creo que vamos a oír hablar de este tema próximamente.

Sin embargo, posiblemente se puede usar el curl.exe del sistema si estas en una versión normal de Windows 10 o 11: este está generada y firmada por Microsoft, y no habrá problemas en 2028 o en ningún otro momento pero no hay la opción de usar libcurl.dll
Responder Con Cita