Firma de código (Microsoft Authenticode)

Question

Tengo un programa que es utilizado por un gran número de personas que no siempre tienen una gran experiencia en informática. Quiero asegurarme de que, en lugar de hacer que mi ejecutable diga que es de un autor desconocido, dice que fue firmado por mí.

Por lo que yo sé que esto se puede hacer con Microsoft Authenticode. Entiendo que necesito un certificado para hacer esto y que estaba buscando uno a un precio razonable. Me encontré con la página Microsoft Authenticode Certificates.

Parece que GlobalSign tiene todo lo que necesito. ¿Cuál es la experiencia con certificados de ellos o hay una mejor compañía? ¿Hay buenos tutoriales para alguien que hace esto por primera vez?

Answer 1

Solía ​​Thawte durante años, y ahora uso Comodo (el más barato, US $ 179.95). Cuando compra su certificado, no olvide guardar su clave privada. Necesita el tutorial Code Signing for Developers - An Authenticode How-To.

Answer 2

Mi organización ha usado Verisign y Comodo (utilizamos el anterior ahora ya que el servicio de informes de errores de Windows no aceptaría un certificado de Comodo, algo a tener en cuenta). No hay mucho para eso: puede usar SignTool.exe que es parte de .NET SDK (puede haber otras herramientas, pero esta es fácilmente disponible, especialmente si tiene Visual Studio).

Tenemos un script que se ejecuta el siguiente (las variables% _...% se establecen dentro de la secuencia de comandos,% 1 es el archivo que está firmando)

signtool.exe sign /f %_PFXFILE% /p %_PASSWORD% /v /t http://timestamp.verisign.com/scripts/timstamp.dll /d %_DESCRIPTION% /du %_URL% %1 

Answer 3

Comodo es un buen punto de partida para encontrar el certificado de firma de código más barato, pero uno recibirá el mejor precio de un distribuidor.

acabo de verificarse los precios de https://author.tucows.com/.Ellos son:

• Código Comodo certificado de firma - 1 año: US $ 75
• Código Comodo certificado de firma - 2 años: US $ 140
• Código Comodo certificado de firma - 3 años: US $ 195

condición adicional son

• mayoría de los certificados SSL de costes efectivos plenamente validados y completos soportados disponibles
• como de confianza como Verisign y Thawte, sin embargo, una fracción del precio
• 99% ubicuidad navegador
• Industria estándar de 128   bits
• procesos de validación tan fuerte como Verisign y mucho más fuerte que GeoTrust
• Garantía de devolución de 30 días
• Reemplazo y reissu gratuitos durante 30 días política e
• distintos niveles de garantía para sitio específico necesita
• seguridad SecuritySpace gratuito de auditoría
• gratuito TrustLogo (por valor de $ 119) con cada InstantSSL Pro y PremiumSSL certificado

El único truco para recibir el precio: tienes que registrarte GRATIS en author.tucows.com.

Una observación más. Independientemente de la cuestión del precio, deseo agregar una información importante para asegurarse de que comprende correctamente por qué necesita la marca de tiempo . Si firma un archivo con un certificado de firma de código, puede usar el sello de tiempo libre desde cualquier servidor de sellado de tiempo como timestamp.verisign.com (consulte el parámetro/T de la utilidad SignTool.exe). La ventaja práctica del sellado de tiempo es la siguiente: si utiliza un certificado de firma de código que es legal hasta finales de 2010, por ejemplo, la firma del archivo se mantendrá correcta después de finales de 2010. Sin sello de tiempo debe renunciar al archivo con el nuevo certificado. El servidor de sellado de tiempo solo confirma la fecha de firma. Debido a que su certificado estaba bien en la fecha, no tendrá problemas más adelante. Entonces, si necesita un certificado solo para vender un software una vez, puede obtener un certificado por el período mínimo: un año. Puede leer más sobre el sellado de tiempo en SSL Certificate Authority and Digital IDs y Trusted timestamping.

En relación con otra pregunta de su pregunta: Después de que tenga un certificado, le recomiendo que solo use la utilidad SignTool.exe. Es simple, GRATIS y fácil de usar. Puede encontrar ejemplos de la utilización de SignTool.exe en Using SignTool to Sign a File y Assembly Signing Example o simplemente comenzar SignTool.exe sign -?.

Answer 4

Estoy usando un certificado de Certum para mis proyectos. Los precios son razonables, su soporte es rápido y bastante bueno en comparación con otras compañías.

Y proporcionan los certificados de forma gratuita si lo usa para un proyecto de código abierto. Pero tienes que pedirlo, no anuncian eso en su sitio web (o simplemente no lo he encontrado).

Answer 5

Certificado sabia hemos cambiado por completo a StartSSL.com para todos nuestros SSL y necesidades de firma de código, debido a que su (a lo mejor de mi conocimiento) sigue siendo único enfoque a la validación de certificados y permite precios considerablemente más bajos (~ 50 USD por 2 años, certificados ilimitados) y una flexibilidad mucho mayor: vea my answer on Pro Webmasters para conocer algunos pros y contras con respecto a su enfoque en general y los certificados SSL en particular.

Desde hace algún tiempo es verdad que ofrecen certificados de firma de código para su uso con Authenticode así, aunque todavía etiquetados como beta - estamos utilizando con éxito para estos ClickOnce desplegado aplicaciones en varios sitios de clientes sin ningún problema. La única cosa que definitivamente parece ser beta es todavía su time stamping server, que no responde en todo momento, pero simplemente reemplazándolo con uno de otro proveedor funcionó impecablemente hasta el momento. Si bien su documentación en cuanto a SSL está bien, la de la firma de código definitivamente es muy débil (casi inexistente), por lo tanto, tuvimos que extraer la mayor parte de la información de los foros o consejos genéricos en otro lugar.

Si los precios y la flexibilidad con los certificados son sus mayores preocupaciones, creo que no se arrepentirá de probar sus ofertas; si, por otro lado, la documentación completa y un proceso establecido y una base de clientes para la firma de códigos en particular son más importantes para usted, este vendedor comparativamente pequeño y distinto no satisfará sus necesidades (personalmente nunca he estado satisfecho con las respectivas ofertas de vendedores más grandes y/o más caros)

---

Actualización:

acabo de dar cuenta que el related question linked by Kate Gregory ya cuenta con una answer recommending StartSSL, así, así que puede que cotejarla con los temas mencionados dentro de este hilo de hecho.