Tenemos un certificado de firma de código, comprado a GlobalSign para la firma de Authenticode (como lo llaman). Ahora necesitamos firmar el applet de Java y luego el módulo Adobe AIR (¿applet?). La pregunta es: desde el punto de vista técnico, ¿existe alguna diferencia entre certificate-for-Authenticode y certificate-for-Java o certificate-for-AIR, si son emitidos por la misma CA (por ejemplo, Comodo o GlobalSign)? No veo sentido en comprar certificados diferentes si son reemplazables.Certificados de firma de código para Java, Adobe AIR, Authenticode, VBS: ¿son diferentes?
entiendo que el campo de uso de claves de certificados debe ser el mismo (firma de código), pero el uso de código tal vez extendida o política u otra extensión difiere en dichos certificados. Agradecería que alguien que tiene certificados de firma de código de dos o más tipos emitidos por una CA pueda verificar esto por mí.
Esto no es exactamente así, y esta es la razón. Por ejemplo, el uso de la clave para el certificado SSL regular y el certificado EV SSL es el mismo. Es OID de política, incluido en el certificado EV SSL que define que este es el certificado EV SSL. Este ID de política es diferente para cada CA "certificada" que emite certificados EV SSL, y la lista de ID de política se actualiza periódicamente. Así que supongo que * puede * haber alguna extensión personalizada (o valor en la extensión de Extended Key Usage) que especifique que el certificado se debe usar solo para firmar cierta clase de objetos de código. Y de ahí viene la pregunta. –
Sospeché que podría haber extensiones personalizadas que podrían causar problemas, pero no está claro desde el RFC, ni está claro que incluso importaría si el navegador no reconoce la extensión.Los navegadores pueden ignorar extensiones no críticas que no entienden, ¿o no? En cualquier caso, creo que puedo cambiar mi respuesta a "No sé". Parece que necesita ver los detalles del certificado que tiene. ¿Puede publicar partes relevantes del certificado? –
@ Cameron si tuviera esos certificados, no habría dudas. Estoy tratando de averiguar, si tiene sentido (desde el punto de vista técnico o legal) comprar diferentes certificados para diferentes clases de objetos de código. Hasta ahora parece que tendríamos que comprar otro (ya tenemos uno) y compararlos. –