Cambios (encarecimiento) en la firma de código

[dec]

Hola a todos,

Supongo que todos estaréis enterados, al menos los que tengáis certificados para la firma de vuestros ejecutables: obtener un certificado para firmar código se va a encarecer (de hecho en algunos sitios ya se ha encarecido) hasta un 400%, debido a ciertos cambios que se van a introducir: entre otras cosas, va a ser necesario un hardware específico para almacenar los certificados, y, claro, adivinad quién va a pagar por dicho hardware...

Por poner un ejemplo, yo venía utilizando los últimos cuatro años leaderssl.com, y, sus precios han pasado de, alrededor de unos 120 euros cada dos años, hasta llegar a 324 euros anuales. ¡Y esto es el certificado más barato que tienen! Esto es una barbaridad, me parece a mí, es decir, no encuentro forma de justificar estos nuevos precios, y, van a poner las cosas más o menos complicadas para obtener un certificado para firmar nuestros ejecutables.

Aunque mi certificado actual no ha caducado, he querido adelantarme, y, a través de SignMyCode.com, he podido obtener un certificado con una validad de tres años, por un total de 115 euros. Este hecho ya nos dice que hay algo muy raro en todo esto... pues estamos hablando de que al final quien certifica es una empresa de nombre Sectigo, es decir, son los mismos certificados, al menos, a nuestros efectos y hasta donde yo llego, sin embargo, como vemos, los precios no pueden ser más dispares.

Este hilo no tiene otra intención que la de dar a conocer estos "cambios" a los posibles interesados, es decir, mi idea es deciros a aquellos que firmáis vuestros ejecutables, "adquirir un certificado ahora, por el máximo tiempo posible, de modo que podáis ahorraros un buen dinero". Yo lo he adquirido por una valided de tres años, como digo, y, sino lo he hecho por más años es, porque, sino me equivoco, esto no es posible, es decir, ese es el máximo de tiempo: no podríamos, aunque quisiéramos, adquirir un certificado con una validad de digamos diez años.

¿Qué pasará dentro de tres años, en mi caso? ¡Pues quién sabe! Espero que para entonces las cosas hayan cambiado y esta gente se de cuenta de que no les renta vender certificados a 300 euros anuales, porque, simplemente, mucha gente no los va a comprar. El problema de esto, por supuesto, es que el tema de firmar los ejecutables no es totalmente voluntario, en el sentido de que Windows avisa y "complica" la ejecución de ejecutables sin firmar, o, imaginemos que queremos publicar nuestro software en la tienda de Windows: sino me equivoco, los ejecutables deben estar firmados sí o sí.

Pero es que los nuevos precios me parecen bárbaros, y, sobre todo, poco justificados. ¿Que por qué me parecen bárbaros y poco justificados? ¡Hombre! Si acabo de adquirir un certificado por una validez de tres años, por un total de 115 euros, y, ahora me quieren cobrar, por lo mismo (excepto la novedad del hardware necesario) digamos 900 euros, pues, claramente, me parece que algo aquí no cuadra. Al menos a mí no me cuadra, teniendo en cuenta, además, que el hardware de marras (la última vez que lo miré) estaba alrededor de 50 euros o una cosa así, acaso incluso menos.

En fin, que, como digo, este hilo no está "patrocinado", a mí no me paga SignMyCode.com ni ningún otro, sino que, finalmente, he podido adquirir un certificado a través de ellos, se han portado muy bien (ellos se han encargado de remitir a Sectigo las fotos de mi DNI, etc., que ellos mismos me han pedido), en fin, que, finalmente, he podido "adelantarme a los cambios" y adquirir el certificado por un precio que me parece por lo menos razonable. No sólo eso, sino que, si me dicen que tengo que pagar 300 euros anuales... me lo hubiera pensado seriamente... casi seguro no lo hubiese hecho, y, claro, esto hubiese dejado a mis ejecutables sin firmar, con lo que eso implica y aun pueda implicar en el futuro...

Así que, si estáis pensando adquirir un certificado para la firma de vuestro código, incluso si tenéis alguno en vigor pero que caduque más o menos en breve, tal vez os interese esta información y queráis usar SignMyCode.com o cualquier otro sitio que los ofrezca todavía a un precio más o menos razonable. Ya digo que yo usaba LeaderSSL.com y estos ya han subido los precios, y, por lo mismo (para mí al menos es lo mismo) hubiera tenido que pagar cinco veces más. ¿Y dentro de tres años? ¡Pues ya veremos! Me parece tiempo más o menos suficiente como para ver cómo evoluciona el asunto: tengo para mí que los nuevos precios son "demasiado", y, acaso se lo piensen... de manera que vuelvan a bajar, hasta dejarlos en algo más razonable.

Eso es lo que quiero pensar... puesto que, como digo, si me dicen que tengo que pagar 900 euros por lo que me ha costado 115, creo que me pensaría seriamente no adquirir un certificado, dejar mis ejecutables sin firmar, y, bueno, que fuese lo que tuviese que ser. Lo que pasa es que, como digo, firmar los ejecutables es casi una necesidad en los tiempos que corren, y, en algunos casos (publicar en la tienda de Windows, por ejemplo) es verdaderamente una necesidad, puesto que no admiten ejecutables sin firmar, sino me equivoco. En fin, ya no me enrrollo más, ¡aquí queda este hilo por si puede ser de utilidad a alguien!

P.D. Cuando compras un certificado en SignMyCode.com te piden realizar unos determinados pasos, como enviar información a Sectigo (básicamente, para un certificado "personal") te piden enviar fotos del DNI (Documento Nacional de Identidad en España), en fin, una serie de fotos de dicho documento, ahora bien, lo que yo he hecho ha sido usar el "chat de ayuda" que SignMyCode.com proporciona, y, como digo, ellos mismos se han encargado de remitir dicha información a Sectigo: esto lo comento porque acaso es buena idea hacer eso: usar el "chat", como quien tiene dudas y necesita ayuda, de modo que sea SignMyCode.com quien os pida lo necesario y quien lo envíe a Sectigo. Pienso que esto puede ser mejor finalmente: puesto que recordemos que comprar un certificado no es "obtenerlo", sino que esta gente tiene que "validar" dichos documentos, etc., vaya, que, puedes comprar un certificado y finalmente no poder tenerlo: ellos te van a devolver el dinero, pero, claro, la idea no es que te devuelvan el dinero, sino, obtener el certificado, de modo que es bueno "tirar" de la ayuda de SignMyCode.com (pienso yo) en lugar de lidiar directamente con Sectigo.