Producimos un sistema de gestión de contenido. Es un sistema basado en una base de datos, utilizado solo por empresas y organizaciones, y nunca se puede descargar de Internet. Es decir, no es el tipo de software con el que alguien podría tropezar y preguntarse qué es y si es seguro ejecutarlo. Durante los más de 20 años, nuestro sistema se está vendiendo, sus ejecutables nunca se han firmado digitalmente. ¿Es hora de que empecemos a firmarlos?¿Cuán importante es firmar digitalmente nuestros ejecutables?
Para empezar, yo puedo pensar en algunos pros y contras:
- Pro: Si el uso de certificados de Verisign, Windows Error Reporting se puede utilizar
- Pro: Cuando Windows Vista y Windows 7 muestran una de esos molestos mensajes UAC, las aplicaciones firmadas se presentan un poco más bien
- Con: Los certificados cuestan dinero. No mucho, pero si son inútiles es demasiado
- Con: La firma tiene algunos gastos generales de mantenimiento, cuánto no sé.
¿Quiere decir firmado con el mismo certificado o firmado con un certificado? El primero no es posible (no se puede firmar kernel32.dll), pero lo último también parece un problema. ¿Podemos firmar un ejecutable de terceros sin firmar, dado que se implementó con nuestra aplicación? – eran