MTE explica: los usos de la entrada “Publicado por” en los instaladores de software

La instalación de software en la mayoría de los sistemas operativos modernos se ha vuelto tan fácil que probablemente podría hacerlo mientras duerme. Como resultado, muchas personas pasan rápidamente por el proceso de instalación y pasan por alto elementos del proceso.

La ventana que aparece, que le solicita que ejecute el instalador, es uno de estos aspectos que se pasan por alto fácilmente. De un vistazo, no contiene nada de lo que no estés al tanto, pero podría ser así. Una sola línea de texto hace que la ventana merezca una segunda mirada, y es la “firma”.

Los instaladores no están firmados en el sentido tradicional como un documento legal, pero algunos están firmados a su manera. Si alguna vez ha visto esto antes y se ha preguntado, o si no ha prestado mucha atención hasta ahora, le explicaremos qué está pasando.

¿Por qué?

Microsoft reconoce que los instaladores de software de firma pueden resaltar los programas que han sido manipulados. Si están firmados, entonces está claro de dónde provienen, y cualquier problema se puede plantear a los desarrolladores, si es necesario.

La tranquilidad también puede considerarse una razón, ya que muchos usuarios se sentirán más cómodos instalando software de una empresa o desarrollador reconocible. El navegador web Mozilla Firefox está firmado por Mozilla Corporation, lo que tiene sentido y proporciona un grado de legitimidad “Desconocido” que no lo tiene.

¿Cómo?

La herramienta de Microsoft para la firma de instaladores de software, el imaginativamente llamado “SignTool.exe”, funciona con una gran variedad de archivos, incluidos los instaladores .exe y .msi. Si no está seguro de las diferencias en estos dos formatos de instalación, las cubrimos en un artículo reciente .

SignTool.exe funciona como una pieza de software independiente, pero el propio sitio web de Microsoft demuestra su uso con un símbolo del sistema de Visual Studio y un certificado de firma preexistente. El certificado no se genera a través de otro comando de Visual Studio, lo que requiere más pasos.

Si no está utilizando Visual Basic, aún necesita un certificado de firma de código junto con SignTool.exe de Microsoft. Las empresas que aparecen en esta lista mantenida por Microsoft proporcionan certificados en formatos estándar o de validación extendida (EV), que se pueden usar junto con una cuenta del Centro de desarrollo de Microsoft. Algunas acciones requieren un certificado EV, aunque la mayoría se puede realizar con un certificado estándar.

Un certificado estándar requiere tiempos de procesamiento más cortos y, como resultado, cuesta menos adquirirlo. El nivel de validación de identidad no es tan alto como el de un certificado EV y no es compatible con la firma de código LSA o UEFI como lo indica Microsoft .

Después de decidir el tipo de certificado, la empresa requiere parte de su información, como una identificación con fotografía y documentos con su nombre. Los certificados no se entregan gratuitamente y las solicitudes de una empresa pueden necesitar extractos de cuentas bancarias u otro papeleo que generalmente no está disponible públicamente.

Una vez recibido el certificado, los desarrolladores pueden empezar a firmar instaladores, dando a sus productos un aire de mayor legitimidad.

Conclusión

Como ha visto, hay bastantes pasos más para obtener esta única línea de texto de lo que parece. Muchos programas todavía se distribuyen sin que su código esté firmado de esta manera sin poner en peligro su PC, y no hay razón para sospechar que algo anda mal con los programas que carecen de un certificado.

Conocer el propósito de los nombres de los editores en las advertencias de software no es algo malo; Se debe alentar a las personas a ser más conscientes de lo que eligen instalar en sus computadoras. Si algo parece mal, vale la pena ser mucho más cauteloso.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario