Si firmo un JAR con un certificado de Comodo, ¿seguiré recibiendo advertencias?

3

He escrito un software en Java que me gustaría vender, sin embargo, actualmente no está firmado. La primera vez que escribí el software no me importó demasiado, pero creo que OS X se ha actualizado desde entonces y se ha vuelto más estricto que los navegadores web y ahora recibo muchas advertencias para decir que el archivo "no se descarga comúnmente y puede ser peligroso "y OS X no permitirá que la aplicación se ejecute sin cambiar la configuración de seguridad.

De lo que puedo reunir, la única forma de abordar esto es firmar la aplicación, lo cual está bien para Windows, pero en OS X estoy un poco confundido. He leído en línea que ahora solo son válidos los certificados emitidos por Apple, pero algunas compañías como DigiCert siguen anunciando que los certificados de firma de código funcionan en Mac y casi todos dicen que funcionan con Java. Entonces, si firmé mis archivos JAR con un certificado de firma de código de Comodo y luego usé JarBundler para crear una aplicación, ¿sería reconocido como "seguro"?

    
pregunta Andy 18.08.2015 - 12:02

2 respuestas

1

Después de morder la viñeta y comprar un certificado de firma de código, ahora puedo responder mi propia pregunta con toda seguridad:

Respuesta corta: no, las advertencias no aparecen en OS X, aunque sí en los navegadores web.

Respuesta larga (er): Técnicamente, los certificados de Comodo o de cualquier otra autoridad de certificación de confianza funcionan correctamente en Mac y usted puede firmarlos por completo con .apps , sin embargo, cuán útil es este asunto. Supongo que para los usuarios más avanzados todavía es beneficioso, ya que puede verificar si una aplicación ha sido manipulada o no, pero Apple aún no la verá como un desarrollador de confianza, y ahí es donde comienza la confusión.

Las advertencias que mencioné en mi pregunta original provienen de Gatekeeper . Ahora, si hubiera sabido que no habría necesitado comenzar esta pregunta, pero supongo que si no supiera que otras personas tampoco lo harán. De todos modos, Gatekeeper es algo que Apple ha diseñado para mantener la seguridad de Mac y evitar que software no deseado y malicioso ingrese al sistema. Para ello, restringe las aplicaciones que se pueden ejecutar según su origen y, de forma predeterminada, en OS X Mountain Lion y más tarde, Gatekeeper solo permite la ejecución de aplicaciones desde Mac App Store y desarrolladores de confianza.

Sin embargo, para convertirse en un desarrollador confiable, se necesita más que solo firmar un código con un certificado antiguo. Los desarrolladores de confianza tienen una ID de desarrollador, que les ha proporcionado Apple, y su certificado de firma de código contiene esta ID de desarrollador; Una vez más, los únicos certificados que pueden contener un ID de desarrollador son los emitidos por Apple.

Entonces, cuando la gente te dice que Apple solo confía en sí mismos, eso no es cierto. Confían en los certificados emitidos por la mayoría de las autoridades de certificación, no de la misma manera que Windows y al firmar su aplicación no significa que usted sea un desarrollador confiable. Para eso, tienes que pagar a Apple $ 99 / año.

Para ser justos, obtienes mucho por esos $ 99 y tiene algún sentido que sea así. Es frustrante para los desarrolladores, pero más seguro para los usuarios. Los usuarios pueden omitir Gatekeeper para aplicaciones individuales, por lo que si solo planea lanzar una aplicación para OS X o algo así, tal vez proporcionar instrucciones sobre cómo podría ser una mejor opción para usted.

PD: Después de una gran cantidad de correos electrónicos al equipo de soporte de Comodo, finalmente recibí esta declaración de ellos para confirmar todo esto:

  

Si bien nuestros certificados funcionan perfectamente bien con la firma de archivos .app,   no le da una ID de desarrollador de Apple para designar que usted es un   Desarrollador identificado por Apple, ya que solo Apple proporciona ID de desarrollador   para aplicaciones Mac y iOS.

    
respondido por el Andy 31.08.2015 - 22:36
-1

Sus archivos JAR se considerarán seguros una vez que lo firme utilizando el certificado de firma de código Comodo.

El certificado de firma de código Comodo es compatible con Mac OS, Linux, Windows, por lo que no recibirá ninguna advertencia o mensaje de alerta en su OS X.

Este artículo le ayudará a comprender cómo los archivos .Jar de certificados de firma de código de Comodo - enlace

    
respondido por el Jake Adley 19.08.2015 - 08:40

Lea otras preguntas en las etiquetas