10-8 = Les certificats de signature de code

Il m’arrive assez souvent d’écrire des programmes, et divers utilitaires, que je mets à disposition de qui peut en avoir besoin sans pour autant en diffuser les sources et donc pouvoir prétendre produire du logiciel Open Source. Je diffuse tout au plus du logiciel gratuit.

Travaillant en environnement Windows j’ai pris depuis quelques années l’habitude de signer les exécutables et librairies, en utilisant d’abord un certificat auto-signé, puis un certificat délivré gratuitement par la société Ascertia, du moins jusqu’en ce début d’année 2010.

J’ai en effet eu la surprise, ayant eu besoin de renouveler celui-ci, de découvrir que cette offre n’était plus au catalogue, et que les seuls certificats gratuits encore disponibles avaient une durée de vie de 30 jours. Des certificats d’un an sont bien encore accessibles mais à titre onéreux tout en étant annoncés être délivrés dans le seul objectif de qualifier le service proposé.

Je me retrouve donc face à quatre alternatives :
- Acheter, et renouveler chaque année, un certificat ‘code signing’ pour signer du logiciel que je diffuse gratuitement. Je n’en ai pas les moyens,
- Générer mon propre certificat ce qui n’apporte pas grand-chose sauf peut être à gêner l’usager quand il voudra vérifier la validité de la signature,
- Utiliser l’offre de CA-CERT dont j’utilise les autres services mais il me faut avoir accumulé plus de 100 points de notoriété quand aucun ‘notaire’ n’est présent dans les environnements,
- Ne plus signer les codes que je mets à disposition. C'est le choix que je vais faire tant qu'aucune offre libre et simple d'accès ne voit le jour.

Faut-il alors s’étonner de l’absence d’applications et de librairies signées dans le monde du logiciel libre.

Nos ISP – qui disposent de toutes les informations utiles pour garantir l’identité de leurs clients - ne pourraient-ils pas leur offrir trois certificats gratuits: messagerie, serveur et code ?