Instalar software na maioria dos sistemas operacionais modernos tornou-se tão fácil que você provavelmente poderia fazer isso durante o sono. Como resultado, muitas pessoas percorrem o processo de instalação e ignoram os elementos do processo.
A janela que aparece, solicitando que você execute o instalador, é um desses aspectos facilmente esquecidos. À primeira vista, não contém nada que você ainda não saiba – mas pode. Uma única linha de texto faz com que a janela valha uma segunda olhada, e é a “assinatura”.
Os instaladores não são assinados no sentido tradicional, como um documento legal, mas alguns são assinados de sua própria maneira. Se você já viu isso antes e se perguntou, ou se não prestou muita atenção até agora, vamos explicar o que está acontecendo.
Por quê?
A Microsoft avalia que a assinatura de instaladores de software pode destacar programas que foram adulterados. Se forem assinados, ficará claro de onde vieram e quaisquer problemas podem ser trazidos aos desenvolvedores, se necessário.
A paz de espírito também pode ser considerada um motivo, já que muitos usuários se sentirão mais confortáveis instalando software de uma empresa ou desenvolvedor conhecido. O navegador Mozilla Firefox é assinado pela Mozilla Corporation, o que faz sentido e oferece um grau de legitimidade que “Desconhecido” não oferece.
Como?
A ferramenta da Microsoft para assinar instaladores de software, com o nome criativo de “SignTool.exe”, funciona com uma grande variedade de arquivos, incluindo instaladores .exe e .msi. Se você não tem certeza das diferenças entre esses dois formatos de instalador, nós os abordamos em um artigo recente.
SignTool.exe funciona como um software autônomo, mas o próprio site da Microsoft demonstra como usá-lo com um prompt de comando do Visual Studio e um certificado de assinatura pré-existente. O certificado não é gerado por outro comando do Visual Studio, exigindo outras etapas.
Se você não estiver usando o Visual Basic, ainda precisará de um certificado de assinatura de código junto com o SignTool.exe da Microsoft. Empresas mostradas em esta lista mantida pela Microsoft fornecer certificados nos formatos padrão ou de validação estendida (EV), que podem ser usados em conjunto com uma conta do Microsoft Dev Center. Certas ações exigem um certificado EV, embora a maioria possa ser realizada com um certificado padrão.
Um certificado padrão requer tempos de processamento mais curtos e, como resultado, custa menos para adquirir. O nível de validação de identidade não é tão alto quanto o de um certificado EV e não suporta assinatura de código LSA ou UEFI como declarado pela Microsoft.
Depois de decidir sobre o tipo de certificado, a empresa exige algumas de suas informações, como um documento de identidade com foto e documentos com seu nome. Os certificados não são fornecidos gratuitamente e os aplicativos de uma empresa podem exigir extratos bancários ou outra papelada que geralmente não está disponível publicamente.
Depois de receber o certificado, os desenvolvedores podem começar a assinar os instaladores, dando a seus produtos um ar de maior legitimidade.
Conclusão
Como você viu, existem algumas etapas a mais para obter essa única linha de texto do que parece. Muitos programas ainda são distribuídos sem que seus códigos sejam assinados dessa maneira, sem colocar seu PC em risco, e não há razão para suspeitar que algo esteja errado com programas sem um certificado.
Saber o propósito dos nomes dos editores em avisos de software não é uma coisa ruim; as pessoas devem ser encorajadas a estar mais cientes do que estão escolhendo instalar em seus computadores. Se algo parece errado, vale a pena ser muito mais cauteloso.