Recientemente hemos tomado la decisión de firmar los ejecutables con el certificado de la FNMT de la empresa. Esto tiene ciertos inconvenientes, pero pensamos que las ventajas superan a los mismos.
Inconvenientes
Internet Explorer
Curiosamente las versiones recientes de Internet Explorer asustan y dificultan más a la hora de guardar archivos firmados por una autoridad de certificación no reconocida que no firmarlos. Algo que no tiene mucho sentido.
Para forzar la ejecución del archivo daremos sobre botón derecho y ejecutamos "Ejecutar de todas formas" o directamente abrimos la carpeta dónde ha sido descargado y obviamos los avisos de Internet Explorer.
Windows
Aquí hay menos inconvenientes. Simplemente avisa de que el editor es desconocido pero deja ejecutarlo sin problemas.
En Windows 8 pulsamos en "Mas información" y ejecutamos de todas formas. El procedimiento es el mismo esté firmado o no.
En otras configuraciones o sistemas operativos el aviso y procedimiento puede variar. En Windows XP avisa de que se trata de un editor desconocido.
El certificado raíz de nuestro certificado de la FNMT es el propio certificado de ellos. Solo tendríamos que modificar las propiedades del mismo para habilitarlo para la Firma de código. Entonces no se generaría ese mensaje.
Todo estos problemas vienen determinados porque dicho certificado no viene por defecto en Windows para este propósito. Solo se incorporan los de ciertas entidades de certificación. Para tener un certificado de las mismas tenemos que gastos tiempo en burocracia y dinero, y al final tampoco suponen más garantía para el usuario final que el uso de nuestro certificado de la FNMT o similar.
Ventajas
Garantía de autenticidad
Le podemos asegurar que protegemos con todo cuidado nuestro certificado de la FNMT. Si recibe un ejecutable firmado con el mismo puede estar razonablemente seguro de que procede de nuestra empresa.
Protección contra modificaciones
Si se modifica de alguna manera el ejecutable original la firma digital dejará de ser válida.
Marca de tiempo de creación verificada
Aparte de la firma del ejecutable también se añadir una marca de tiempo a través de un servicio verificado de Symantec.
Evitar el problema
Si quiere puede usar el Configurador de la FNMT-RCM para evitar estos problemas.
En la pantalla de Windows 8 siguiente puede ver los tres estados posibles.
1) Ejecutable firmado pero no instalado certificado raiz
2) Ejecutable firmado con modificación posterior.
3) Ejecutable firmado tras instalación de Configurador de FNMT.
