Conseguir un certificado digital para firmar código

[Nasca]

Cita:

Empezado por dec

Hola a todos,



Gracias por la ayuda.

Yo he encontrado la empresa que iba a utilizar (es decir, la que encontré tras largas búsquedas como más interesante) antes de decidirme por StartCom: http://codesigning.ksoftware.net/

Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

Estoy curioseando en los almacenes de autoridades certificadoras (CA) de varias versiones de Windows.

StartCom parece que caduca el 17/09/2036. Y está en Windows 7, 10 y XP como CA.
Por lo que parece que a pesar de que esté caducado el certificado con el que se firma, el programa en teoría se puede seguir firmando y Windows lo reconocerá como correcto.
De todas formas no tengo claro que la nota de StartCom sea aplicable a los certificados de firma de código. Se lo he preguntado, si responden aviso.

Parece que GoDaddy también está como CA: https://es.godaddy.com/web-security/...ng-certificate
Aunque sale algo caro hay que tener presente que no es para identificadores personales, es para identificadores de organizaciones:
https://es.godaddy.com/help/verifica...cado-ssl-12127

Para este caso creo que los de Starcom siguen siendo válidos y son bastante más baratos.

Pero, ¿qué pasa pues con el artículo que enlacé más arriba del blog de Microsoft?

Cita:

Microsoft has concluded that the Chinese Certificate Authorities (CAs) WoSign and StartCom have failed to maintain the standards required by our Trusted Root Program. Observed unacceptable security practices include back-dating SHA-1 certificates, mis-issuances of certificates, accidental certificate revocation, duplicate certificate serial numbers, and multiple CAB Forum Baseline Requirements (BR) violations.

Thus, Microsoft will begin the natural deprecation of WoSign and StartCom certificates by setting a “NotBefore” date of 26 September 2017. This means all existing certificates will continue to function until they self-expire. Windows 10 will not trust any new certificates from these CAs after September 2017.

Microsoft values the global Certificate Authority community and only makes these decisions after careful consideration as to what is best for the security of our users.

Yo, desde luego, sigo firmando con mi certificado actual (comprado hace casi 2 años en StartCom) y todo parece ir bien, pero, claro, estamos planteando la posible compra de otro certificado, o, de la renovación de uno caducado. No sé yo... no me queda claro el asunto. Recuerdo que tú iniciaste el tema de nuevo a partir de una nota de StartCom (si no me equivoco), pero, ¿y lo del artículo de Microsoft arriba citado?

Cita:

Empezado por Nasca

Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

Bien visto eso.

[Nasca]

Cita:

Empezado por dec

Hola a todos,

Yo, desde luego, sigo firmando con mi certificado actual (comprado hace casi 2 años en StartCom) y todo parece ir bien, pero, claro, estamos planteando la posible compra de otro certificado, o, de la renovación de uno caducado. No sé yo... no me queda claro el asunto. Recuerdo que tú iniciaste el tema de nuevo a partir de una nota de StartCom (si no me equivoco), pero, ¿y lo del artículo de Microsoft arriba citado?

La verdad es que no había vista esta información.
Ahora ya tengo clara la razón de que no vaya a ser válidos: ya no los consideran como empresas certificadores de confianza
Pero claro los de StartCom se lo callaban.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

La verdad es que no había vista esta información.
Ahora ya tengo clara la razón de que no vaya a ser válidos: ya no los consideran como empresas certificadores de confianza
Pero claro los de StartCom se lo callaban.

Joroba, no es que se lo callasen... es que ahora mismo se lo están callando, puesto que siguen vendiendo certificados. No entiendo nada.

[Nasca]

Me tienen mosqueado los certificados de Comodo.

No me aparecen como autoridad certificadora en XP, cosa razonable, pero es que tampoco lo hacen en Windows 10.
Si los encuentro en Windows 7.

¿Podéis comprobarlo también vosotros en vuestros SO?

Si es así no van a valer realmente para mucho.

Instrucciones para verlos de forma sencilla en MMC: https://msdn.microsoft.com/es-es/lib...v=vs.110).aspx

[dec]

Hola a todos,

No sé si lo estaré mirando bien, creo que sí, y, aparece "Comodo" por aquí...



Esto es en Windows 10 Pro de 64 bits.

[Nasca]

Si es ese, en mi instalación no venía incluida, supongo que es porque se ha actualizado en tu caso con alguna actualización posterior.

[Nasca]

Respuesta de StartCom:

Thank you for your message. Certificates issued from Startcom roots after 26/9/2017 are not valid on any platform. (including Code signing certificates)

Me parece que me voy a arriesgar a seguir firmando igualmente con el certificado caducado (caduca el 14/12/2017). No debería dar problemas para autentificar identidad y evitar las modificaciones del ejecutable por posibles virus.

[dec]

Hola a todos,

Cita:

Empezado por Nasca

Ten presente que solo ofrecen el OV (Organization Validation) y EV (Organization Extended Validation - para firma de drivers). No parece que tengan disponible el Class 2 Personal Identity Validation como StarCom.

Si no tenéis empresa no os valdrá. Usan los de Comodo.

O sea... que ya lo habías comentado tú Nasca...

[dec]

Hola a todos,

Cada vez estoy más pez en todo esto: señal, acaso, de que me importa un pimento... y de que lo hago sólo por obligación. Si no me equivoco, ahora, después de leer sobre el asunto, mi problema con Comodo, es decir, el hecho de que me solicitasen una "nota legal" de un abogado o notario (madre mía... esta gente... ¡no conoce a los abogados y notarios españoles!), mi problema, digo, creo que fue no poder cumplir con otro de los requisitos de Comodo: que tu número de teléfono aparezca listado en la guía de teléfonos de tu país.

Al no poder conseguir (en su momento) dicho requisito, quiero recordar, fue cuando me pidieron lo de la "nota legal". Dicho de otro modo, creo que Comodo ofrece certificados de firma de código para individuos, además de para empresas. Como ahora tengo mi número de teléfono listado, además de los otros datos que te piden (facturas, etc.), tal vez la "nota legal" no sea ya necesaria. De modo que es esto lo que voy a intentar: voy a probar con algún "partner" (más barato) de Comodo, a ver si esta vez lo consigo...

Esto, además de un sacacuartos (que vale, que se puede entender, no estoy completamente en desacuerdo con algo así), es un lío de narices, y, a cada paso que doy me entero de cosas nuevas. Y es que es así... hace ya casi dos años que compré mi primer certificado. Ahora mismo no sabría ni cómo usar uno nuevo para finalmente "firmar mi código", que, es de lo que se trata.

Espero que otros compañeros sean más inteligentes que yo, lean bien las "instrucciones", y, las entiendan. Yo reconozco que desvarío, porque, habiéndome informado, parece que sé muy poco de este asunto: señal, acaso, de que en realidad me importa un pimiento, como he dicho. Mal por mí: porque debería importarme.

En fin, lo dicho, ya os contaré cómo acaba la cosa.