Здравствуйте, okman, Вы писали:
O>Здравствуйте, CRT, Вы писали:
CRT>>Я мею в виду включить в подпись все вот эти сертификаты CRT>>
CRT>>Тот который наверху, ему же виндос доверяет, вот типа из-за этого проблем и не должно быть CRT>>И попутно виндос всех их установит в систему
O>А если Windows корневому сертификату GlobalSign не доверяет, что тогда ?
В том и дело что виндос ему доверяет. Я не знаю как виндос это проверяет.
Но вот допустим у меня в системе не установлен коневой сертификат GlobalSign
Но я захожу на какой-нибудь сайт по https где используется сертификат GlobalSign и виндос устанавливает корневой сертификат GlobalSign себе в систему. То есть каким то образом виндос проверяет что корневой сертификат GlobalSign является доверенным. Возможно корневой сертификат GlobalSign подписан каким то микрософтовским сертификатов.
Почему такое же не может поизойти если корневой сертификат включен в подпись файла?
> Да, все правильно. > Вариант именно для тех случаев, когда сертификат не сильно распостранен, но для > нормальной работы приложения обязателен.
То есть мы тормоза и "Проверить не удалось" таким образом меняем на "Неизвестный издатель" без тормозов, но с неподписанным в итоге инсталятором.
Собствено и вопрос-то был, что это нам дает в итоге? В каких ситуациях это может нам понадобиться? Имхо минусов больше чем плюсов. Точнее плюсов вообще не вижу.
Здравствуйте, grosborn, Вы писали:
G>То есть мы тормоза и "Проверить не удалось" таким образом меняем на "Неизвестный издатель" без тормозов, но с неподписанным в итоге инсталятором.
Слово "тормоз" в моих сообщениях если и фигурирует, то исключительно для описания
механических деталей автомобиля.
G>Собствено и вопрос-то был, что это нам дает в итоге? В каких ситуациях это может нам понадобиться? Имхо минусов больше чем плюсов. Точнее плюсов вообще не вижу.
Вы попробуйте подписать инсталлер самопальным сертификатом, которому система не доверяет.
А затем потестируйте эту ситуацию на разных версиях Windows, с разными антивирусами.
И сравните с инсталлятором, у которого просто отсутствует подпись.
На моих тестах поведение системы часто было разительно отличающимся — от
простых предупреждений до "красных экранов" антивирусов, гораздо более
ужасающих, чем просто "unknown publisher".
Здравствуйте, CRT, Вы писали:
O>>А если Windows корневому сертификату GlobalSign не доверяет, что тогда ?
CRT>В том и дело что виндос ему доверяет. Я не знаю как виндос это проверяет. CRT>Но вот допустим у меня в системе не установлен коневой сертификат GlobalSign CRT>Но я захожу на какой-нибудь сайт по https где используется сертификат GlobalSign и виндос устанавливает корневой сертификат GlobalSign себе в систему. То есть каким то образом виндос проверяет что корневой сертификат GlobalSign является доверенным. Возможно корневой сертификат GlobalSign подписан каким то микрософтовским сертификатов.
Это происходит в результате работы службы Windows под названием "обновление корневых сертификатов".
Тут я плохо знаю детали, но вроде бы коммерческие сертификаты подобного уровня находятся
системой через так называемые точки распостранения. То есть, некий глобальный каталог.
И это происходит успешно только в том случае, если есть доступ в интернет.
CRT>Почему такое же не может поизойти если корневой сертификат включен в подпись файла?
Промежуточные сертификаты могут и обычно включаются в подпись.
А корневые — нет, они должны попадать на компьютеры только в результате
обновления сертификатов, либо устанавливаться администратором вручную.
И, кстати, включение сертификата в подпись не приводит к его автоматическому
копированию в хранилище сертификатов.
Да что гадать — давайте прямо сейчас возьмем любой файл, подписанный GlobalSign-овской или
какой другой подписью, и запустим его на чистой Vista или Win7, не имеющей выхода в инет.
У меня виртуалки есть со снимками систем сразу после установки ОС, могу даже
скриншот сделать и выложить здесь.
> G>То есть мы тормоза и "Проверить не удалось" таким образом меняем на "Неизвестный издатель" без тормозов, но с неподписанным в итоге инсталятором. > > Слово "тормоз" в моих сообщениях если и фигурирует, то исключительно для описания > механических деталей автомобиля.
Для краткости. Могу конечно писать и "Проверка подписи занимает долгое время".
> G>Собствено и вопрос-то был, что это нам дает в итоге? В каких ситуациях это может нам понадобиться? Имхо минусов больше чем плюсов. Точнее плюсов вообще не вижу. > > Вы попробуйте подписать инсталлер самопальным сертификатом, которому система не доверяет. > А затем потестируйте эту ситуацию на разных версиях Windows, с разными антивирусами. > И сравните с инсталлятором, у которого просто отсутствует подпись. > На моих тестах поведение системы часто было разительно отличающимся — от > простых предупреждений до "красных экранов" антивирусов, гораздо более > ужасающих, чем просто "unknown publisher".
Мммм... А можешь подсказать как это у себя вопроизвести? Ну что бы не тратить несколько дней на поиск такой ситуации, хотелось бы у себя посмотреть чего они там сообщают.
Слово "ужасающих" в моих сообщениях если и фигурирует, то исключительно для описания случаев вызывающих легкое желание избежать подобных ситуаций.
> И, кстати, включение сертификата в подпись не приводит к его автоматическому > копированию в хранилище сертификатов.
Вот я экспериментировал на Windows 7 и у меня корневые и промежуточные сертификаты включенные в подпись автоматически устанавливались в хранилище. Причем даже не требовалось никакого подтверждения. Возможно конечно какая-то информация кешировалась, но вот так оно себя ведет, обращаю твое на это внимание.
Здравствуйте, grosborn, Вы писали:
G>А можешь подсказать как это у себя вопроизвести? Ну что бы не тратить несколько дней на поиск такой ситуации, хотелось бы у себя посмотреть чего они там сообщают.
Подписать инсталлятор программы (exe или msi) самопальной цифровой подписью.
Или подписью, корневого сертификата которой нет по умолчанию в хранилище
Windows — это одно и то же. Потом запустить антивирус и этот инсталлятор.
Я тестировал в свое время эту ситуацию где-то на десятке популярных антивирей и
фаерволов — больше всего ругались Kaspersky, Outpost Firewall и ZoneAlarm, если
мне не изменяет память. Причем когда просто отсутствует подпись, "криков" было
заметно меньше.
Здравствуйте, grosborn, Вы писали:
G>Вот я экспериментировал на Windows 7 и у меня корневые и промежуточные сертификаты включенные в подпись автоматически устанавливались в хранилище.
O>Да что гадать — давайте прямо сейчас возьмем любой файл, подписанный GlobalSign-овской или O>какой другой подписью, и запустим его на чистой Vista или Win7, не имеющей выхода в инет. O>У меня виртуалки есть со снимками систем сразу после установки ОС, могу даже O>скриншот сделать и выложить здесь.
А вот такой корневой сертификат предустановлен на ваших чистых системах?
O>Подписать инсталлятор программы (exe или msi) самопальной цифровой подписью. O>Или подписью, корневого сертификата которой нет по умолчанию в хранилище O>Windows — это одно и то же. Потом запустить антивирус и этот инсталлятор.
Эксперимент проводить без доступа в интернет, разумеется.
Здравствуйте, CRT, Вы писали:
CRT>Здравствуйте, okman, Вы писали:
O>>Да что гадать — давайте прямо сейчас возьмем любой файл, подписанный GlobalSign-овской или O>>какой другой подписью, и запустим его на чистой Vista или Win7, не имеющей выхода в инет. O>>У меня виртуалки есть со снимками систем сразу после установки ОС, могу даже O>>скриншот сделать и выложить здесь.
CRT>А вот такой корневой сертификат предустановлен на ваших чистых системах? CRT>
CRT>Если нет попробуйте скачать и запустить truelaunchbar Юрия Кобца http://download.truelaunchbar.com/install/langs/1049-russian-5.exe CRT>она таким сертификатом подписана, CRT>вроде он не установлен на чистых системах
правда я не уверен что там все сертификаты подписи
> G>Вот я экспериментировал на Windows 7 и у меня корневые и промежуточные сертификаты включенные в подпись автоматически устанавливались в хранилище. > > В отсутствие инета ?
Да, при отключенной сети. Удаляю сертификат из хранилища, кликаю на запуск подписанной программы, потом отвечаю "Не доверять", иду смотрю хранилище — сертификат есть. Я уже где-то об этом писал в этом форуме.
Здравствуйте, okman, Вы писали:
O>Здравствуйте, CRT, Вы писали:
CRT>>А вот такой корневой сертификат предустановлен на ваших чистых системах? CRT>>
O>Usertrust установлен, насколько я помню. O>На Vista и Win7 — точно.
Здравствуйте, grosborn, Вы писали:
>> В отсутствие инета ?
G>Да, при отключенной сети. Удаляю сертификат из хранилища, кликаю на запуск подписанной программы, потом отвечаю "Не доверять", иду смотрю хранилище — сертификат есть. Я уже где-то об этом писал в этом форуме.
Да, я этот эффект тоже наблюдал, но только для тех сертификатов, которые уже были
установлены в системе. Не знаю, почему так, но похоже, что они где-то кэшируются.
Вот я сейчас провел небольшой эксперимент, чтобы расставить все точки над "i".
Берем чистую Windows Vista Ultimate, 32-бита, без сервис-паков.
Я сгенерил два самопальных сертификата — Root и Code Signing (второй выдан первым).
Теперь взял произвольный exe-шник и подписал его Code Signing-сертификатом,
причем корневой сертификат (Root) включил в подпись.
А затем скопировал exe на Vista и в контекстном меню файла нажал свойства/цифровые подписи.
Интернета не было. После двухсекундной задержки мне написало, что цифровая подпись
недействительна, так как сертификат не удается проверить. Никаких новых сертификатов ни в
системном, ни в юзерском хранилище не появилось.
Здравствуйте, okman, Вы писали:
O>А затем скопировал exe на Vista и в контекстном меню файла нажал свойства/цифровые подписи. O>Интернета не было. После двухсекундной задержки мне написало, что цифровая подпись O>недействительна, так как сертификат не удается проверить. Никаких новых сертификатов ни в O>системном, ни в юзерском хранилище не появилось.
Здравствуйте, grosborn, Вы писали:
G>Удаляю сертификат из хранилища, кликаю на запуск подписанной программы, потом отвечаю "Не доверять", иду смотрю хранилище — сертификат есть. Я уже где-то об этом писал в этом форуме.
Чтобы окончательно развеять сомнения, которые уже начали закрадываться, провел еще один эксперимент.
Скопировал файл netscan32.exe (ссылки wellwell приводил выше) на совершенно чистую Windows 7,
где сертификата GlobalSign нету ни в одном из хранилищ. Все промежуточные сертификаты ссылаются
только на корневой сертификат GlobalSign, то есть, какое-либо побочное влияние исключено.
Открываю контекстное меню файла, вкладку "Цифровые подписи", жму "проверить".
Доступ в интернет или локальную сеть отсутствует. Странным образом, но проверка проходит, а
сертификат попадает в "Trusted Root Certification Authorities", причем он еще оказывается
продублированным в "Third-Party Root Certification Authorities".
Мистика !
На своих тестах, которые проводил пару месяцев назад, эту ситуацию вообще не наблюдал.
Возможно потому, что работали антивирусы и блокировали доступ к хранилищам. Не знаю.
Но факт, что подпись с самопальным сертификатом, даже включающая корневой
сертификат, почему-то таком же образом в хранилище не попадает и проверка подписи
завершается с ошибкой. Почему — ответить затрудняюсь. Сертификаты пробовал генерить как
makecert, так и другими инструментами, среди которых есть коммерческие и вполне приличные,
специально предназначенные для генерации сертификатов (не тестовых).
Здравствуйте, wellwell, Вы писали:
W>Если на компе нету интернета, свойства сертификаты открываются мгновенно. Подпись верна. W>Если же интернет есть, уходит в себя секунд на 10, потом опять же открываются свойства и подпись верна.
Меня добивает во всей этой ситуации то, что когда подключение через какой-нибудь роутер, а
интернет отключен, проверка вообще может зависнуть на несколько минут.
Здравствуйте, okman, Вы писали:
O>Здравствуйте, grosborn, Вы писали:
G>>Удаляю сертификат из хранилища, кликаю на запуск подписанной программы, потом отвечаю "Не доверять", иду смотрю хранилище — сертификат есть. Я уже где-то об этом писал в этом форуме.
O>Чтобы окончательно развеять сомнения, которые уже начали закрадываться, провел еще один эксперимент. O>Скопировал файл netscan32.exe (ссылки wellwell приводил выше) на совершенно чистую Windows 7,
каким образом скопировал? Не через интернет эксплорер? Возможно ли что это IE smartscreen когда проверял файл скачал и установил корневой сертификат?
Хотя вроде в чистой седьмой версии должен быть IE8 а у него smartscreen не проверяет так как у IE9
