¿Cómo firmar código?

cobito

Hace un tiempo que quiero firmar los ejecutables del banco de pruebas para que deje de salir la advertencia de Smartscreen de Windows. Me he puesto a buscar información pero no me entero. Leyendo en FAQs de autoridades certificadoras estadounidenses, veo que sólo permiten expedir certificados a organizaciones. Buscando sobre certificados individuales, no he encontrado nada claro. En cualquier caso, piden que te busques un abogado para que haga no sé qué documentos legales que prueben tu identidad. Todo eso me parece un follón y tampoco estoy muy seguro de que sea válido para España.

Total, que buscando un poco más, he visto que la FNMT expide certificados de código pero no sé lo que cuestan ni lo que piden para comprobar mi identidad. Al hacer la petición, aparece un formulario donde piden cosas que no entiendo:
· NOMBRE DEL COMPONENTE
· PETICIÓN DE CERTIFICADO (PKCS#10 Ó SPKAC)

Desde el punto de vista técnico, he leído que lo más sencillo es usar SignTool. He instalado el SDK de Microsoft y parece que ya lo tengo. Pero en fin, esa será una lucha posterior.

Mi prioridad en este caso es encontrar la opción más económica porque en principio, sólo lo voy a usar para el banco de pruebas.

Estoy bastante pez en todo esto. ¿Alguien tiene experiencia en este tipo de cosas? ¿Qué suelen hacer los desarrolladores independientes en estos casos? ¿Hay alguna entidad que me podáis recomendar?

Muchas gracias.

cobito

Después de varios días indagando, empiezo a tener las cosas un poco más claras.

En primer lugar, la FNMT ya no expide certificados de código, así que esa queda descartada. Creo que la única entidad que certifica código en nuestro país a nivel nacional (algunas regiones parecen tener sus opciones) es Camerfirma (de la Cámara de Comercio). La broma sale por 400 pavos al año y no estoy seguro de que lo expidan a título individual. Esto queda descartado por precio.

Buscando opciones más económicas, sobre el proceso por el que confirmo ser quien digo ser (que es lo que más me mosquea del asunto), el certificador donde parecen menos abusivos en la petición de información es Certum, una empresa polaca que según su FAQ, sólo me pediría un documento de identificación (carnet de conducir por ejemplo) y una factura de algún suministro (de electricidad por ejemplo). Viendo que las CAs estadounidenses como Comodo/Sectigo piden una cantidad ridícula de documentos, inclusive un documento firmado por un notario, le he preguntado a Certum sobre la exactitud de la información en su web, pero todavía no me han respondido. Por otra parte, me produce más confianza dar este tipo de documentos personales a una empresa UE antes que a una estadounidense, a pesar de que Certum es considerablemente más cara que Comodo/Sectigo, sobre todo en la primera expedición.

Si me responden afirmativamente al tema de la documentación, es probable que tire por ahí durante un año a ver qué pasa. En general veo que el banco de pruebas se descarga con mucha más frecuencia que validaciones se reciben y entiendo por qué podría estar pasando.

Mientras tanto, he firmado el programa con un certificado gratuito de Ascertia de duración de un mes. Esta entidad ni siquiera tiene convenio con Microsoft y a efectos prácticos, es como no tener nada. Pero pasando el ejecutable por VirusTotal me sale sólo un positivo (de 72) mientras que con el ejecutable sin firmar saltan 4 positivos. Así que al menos por ahí, parece que algo mejora la cosa.

kynes

@cobito Siento no poder ayudar en este tema, lo único que puedo decir es que el tema de los certificados digitales es un puto infierno con la cnmt, no entiendo cómo no lo hacen de alguna forma menos farragosa en el tema de navegadores y opciones del sistema operativo.

cobito

¡Ya está! En un rato publicaré el ejecutable firmado.

Bueno, esto de los certificados de código es el cachondeo hecho negocio. Certum ha sido frustrante; su servicio técnico es penoso y me ha dejado de dar confianza la verdad. Al final me he decantado por una certificadora texana llamada SSL punto com. No tienen los precios más baratos pero están bastante lejos de los más caros. Y no piden locuras. El proceso ha sido el siguiente:

El jueves pasado hice la compra y subí los documentos de validación. En mi caso ha sido suficiente con:
· Una copia de mi carnet de conducir
· Una factura del agua de hace 3 meses
· Una foto mía enseñando ambos documentos

Esta tarde he preguntado que cómo iba el asunto. Desde la pregunta, en menos de una hora me han activado el certificado. Si no hubiera preguntado lo mismo hubiera tenido que esperar un mes. En general, el SAC de estas empresas parece bastante lamentable, tanto en tiempo de respuesta como calidad de la misma. Pero estos, al ver que he aflojado la pasta, parece que me han tomado un poco más en serio.