Errores por firma de ejecutables con certificado de FNMT

Recientemente hemos tomado la decisión de firmar los ejecutables con el certificado de la FNMT de la empresa. Esto tiene ciertos inconvenientes, pero pensamos que las ventajas superan a los mismos.

Inconvenientes

Internet Explorer

​Curiosamente las versiones recientes de Internet Explorer asustan y dificultan más a la hora de guardar archivos firmados por una autoridad de certificación no reconocida que no firmarlos. Algo que no tiene mucho sentido.

Firma FNMT en Internet Explorer

Para forzar la ejecución del archivo daremos sobre botón derecho y ejecutamos "Ejecutar de todas formas" o directamente abrimos la carpeta dónde ha sido descargado y obviamos los avisos de Internet Explorer.

Windows

Aquí hay menos inconvenientes. Simplemente avisa de que el editor es desconocido pero deja ejecutarlo sin problemas.

En Windows 8 pulsamos en "Mas información" y ejecutamos de todas formas. El procedimiento es el mismo esté firmado o no.

Forzar en Windows 8

En otras configuraciones o sistemas operativos el aviso y procedimiento puede variar. En Windows XP avisa de que se trata de un editor desconocido.

Forzar en Windows XP

El certificado raíz de nuestro certificado de la FNMT es el propio certificado de ellos. Solo tendríamos que modificar las propiedades del mismo para habilitarlo para la Firma de código. Entonces no se generaría ese mensaje.

Modificar certificado raíz FNMT

Todo estos problemas vienen determinados porque dicho certificado no viene por defecto en Windows para este propósito. Solo se incorporan los de ciertas entidades de certificación. Para tener un certificado de las mismas tenemos que gastos tiempo en burocracia y dinero, y al final tampoco suponen más garantía para el usuario final que el uso de nuestro certificado de la FNMT o similar.

Ventajas

Garantía de autenticidad

Le podemos asegurar que protegemos con todo cuidado nuestro certificado de la FNMT. Si recibe un ejecutable firmado con el mismo puede estar razonablemente seguro de que procede de nuestra empresa.

Protección contra modificaciones

Si se modifica de alguna manera el ejecutable original la firma digital dejará de ser válida.

Ejecutable con firma modificado

Marca de tiempo de creación verificada

Aparte de la firma del ejecutable también se añadir una marca de tiempo a través de un servicio verificado de Symantec.

Evitar el problema

Si quiere puede usar el Configurador de la FNMT-RCM para evitar estos problemas.

En la pantalla de Windows 8 siguiente puede ver los tres estados posibles.

1) Ejecutable firmado pero no instalado certificado raiz

2) Ejecutable firmado con modificación posterior.

3) Ejecutable firmado tras instalación de Configurador de FNMT.

Estados del certificado en ejecutable firmado

Tags: 
Interfaz