но не все вечно, настало время обновить сертификат, проблем то нет, но на горизонте замаячила 10 Винда.
Поэтому решил перестраховаться, зашел в чат этой компании, и мне сказали, что Code Signing Certificate для 10 Винды
уже не катит, а нужен уже EV Code Signing Certificate, естественно, дороже и отличается тремя пунктами. С 10 я еще не работал,
поэтому решил здесь проконсультироваться вначале. Может кто подскажет — правы ли они, что нужен новый сертификат, или это простой
развод на деньги?
Beginning with the release of Windows 10, all new Windows 10 kernel mode drivers must be submitted to and digitally signed by the Windows Hardware Developer Center Dashboard portal. Windows 10 will not load new kernel mode drivers which are not signed by the portal.
Additionally, starting 90 days after the release of Windows 10, the portal will only accept driver submissions, including both kernel and user mode driver submissions, that have a valid Extended Validation (“EV”) Code Signing Certificate.
ETI>Beginning with the release of Windows 10, all new Windows 10 kernel mode drivers must be submitted to and digitally signed by the Windows Hardware Developer Center Dashboard portal. Windows 10 will not load new kernel mode drivers which are not signed by the portal.
ETI>Additionally, starting 90 days after the release of Windows 10, the portal will only accept driver submissions, including both kernel and user mode driver submissions, that have a valid Extended Validation (“EV”) Code Signing Certificate.
ETI>Beginning with the release of Windows 10, all new Windows 10 kernel mode drivers must be submitted to and digitally signed by the Windows Hardware Developer Center Dashboard portal. Windows 10 will not load new kernel mode drivers which are not signed by the portal.
ETI>Additionally, starting 90 days after the release of Windows 10, the portal will only accept driver submissions, including both kernel and user mode driver submissions, that have a valid Extended Validation (“EV”) Code Signing Certificate.
Что делать в случае, если отправка файла на портал неприемлема?
Есть ли на сегодняшний момент возможность запустить подписанный EV-сертификатом драйвер в Windows 10 без отправки бинарника в Microsoft?
While we’ve seen few official statements saying EV certs are not required for Win10 KMCS, experience in the field seems to indicate that drivers that are signed and cross-signed the traditional way are not being rejected by Windows 10. That is, Windows 10 appears to be behaving exactly the same as Windows 8.1 with regards to kernel-mode driver signing.
Здравствуйте, EreTIk, Вы писали:
A>>Есть ли на сегодняшний момент возможность запустить подписанный EV-сертификатом драйвер в Windows 10 без отправки бинарника в Microsoft?
ETI>На текущий момент все работает "как раньше". ETI>OSR: Our Recommendations for Driver Signing — Windows 10 and Otherwise
Здравствуйте, EreTIk, Вы писали:
A>>Есть ли на сегодняшний момент возможность запустить подписанный EV-сертификатом драйвер в Windows 10 без отправки бинарника в Microsoft?
ETI>На текущий момент все работает "как раньше".
У меня на Windows 10 с включенным Secure Boot категорически отказываются загружаться
драйверы (код 577), подписанные после релиза "Десятки". Помогает, как ни странно,
только убирание timestamp-а из подписи...
Здравствуйте, okman, Вы писали:
O>У меня на Windows 10 с включенным Secure Boot категорически отказываются загружаться O>драйверы (код 577), подписанные после релиза "Десятки". Помогает, как ни странно, O>только убирание timestamp-а из подписи...
А timestamp с каким алгоритмом? Возможно, ему не нравится SHA-1, надо SHA-256.
Здравствуйте, okman, Вы писали:
O>У меня на Windows 10 с включенным Secure Boot категорически отказываются загружаться O>драйверы (код 577), подписанные после релиза "Десятки". Помогает, как ни странно, O>только убирание timestamp-а из подписи...
У меня сейчас под рукой ноутбук Windows 10 Pro 10586 x64, Secure Boot State: On
Успешно загружен драйвер, подписанный 2 февраля 2016 (сегодня же). Подпись старая, sha1, VeriSign, timestamp от Symantec (2 февраля 2016)
Здравствуйте, EreTIk, Вы писали:
ETI>У меня сейчас под рукой ноутбук Windows 10 Pro 10586 x64, Secure Boot State: On ETI>Успешно загружен драйвер, подписанный 2 февраля 2016 (сегодня же). Подпись старая, sha1, VeriSign, timestamp от Symantec (2 февраля 2016)
Описанное поведение наблюдаю только на необновленной "Десятке".
На Win10-64 Enterprise (1511) со всеми последними апдейтами такого уже нет.
Здравствуйте, Vicul, Вы писали:
V>мне сказали, что Code Signing Certificate для 10 Винды уже не катит, а нужен уже EV Code Signing Certificate, V>естественно, дороже и отличается тремя пунктами.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, Vicul, Вы писали:
V>>мне сказали, что Code Signing Certificate для 10 Винды уже не катит, а нужен уже EV Code Signing Certificate, V>>естественно, дороже и отличается тремя пунктами.
ЕМ>Свежий опыт получения Code Signing сертификата от DigiCert
и использования его под Win10.
ЕМ>Но это лишь текущая практика — поведение десятки может измениться в самое ближайшее время.
Вот оно и изменилось Нужна цифровая подпись MS. Правда это не отменяет получение другого сертификата как раньше, ибо на подпись в MS отправляются подписанные cab'ы.
опа опа мы воюем с нато
любит хавать этот кал
путинская вата
Здравствуйте, sr_dev, Вы писали:
_>Нужна цифровая подпись MS.
Насколько я понимаю, подпись MS нужна лишь для систем со включенным Secure Boot. Без него должно быть достаточно подписи обычным сертификатом.
_>на подпись в MS отправляются подписанные cab'ы.
cat'ы. Да и .sys неплохо бы отдельно подписывать, иначе при правке .inf, иногда полезной при тонкой настройке, драйвер перестает загружаться.
Здравствуйте, velkin, Вы писали:
V>Все сертификаты на драйвера это простой развод на деньги.
Ну как сказать... Сколько Вы знаете вредоносных программ на основе драйверов, которые разработаны после смены политики MS в этом направлении, и успешно атакуют компьютеры жертв, на которых эта политика используется?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, sr_dev, Вы писали:
_>>Нужна цифровая подпись MS.
ЕМ>Насколько я понимаю, подпись MS нужна лишь для систем со включенным Secure Boot. Без него должно быть достаточно подписи обычным сертификатом.
правильно. у кастомеров поголовно включен, по моему по умолчанию так
ЕМ>cat'ы. Да и .sys неплохо бы отдельно подписывать, иначе при правке .inf, иногда полезной при тонкой настройке, драйвер перестает загружаться.
именно кабы, внутри которых sys'ы и cat'ы. возвращается из ms всё с подписью ms (дополнительно к той что было, без нее не примут)
опа опа мы воюем с нато
любит хавать этот кал
путинская вата
Нужна цифровая подпись MS. Правда это не отменяет получение другого сертификата как раньше, ибо на подпись в MS отправляются подписанные cab'ы.
