Re: Сертификат для подписи драйвера, конец истории. - Shareware и бизнес

Привет !

Я тут годик назад писал про подписывание драйвера и приобретение сертификата на
индивидуала у компании GlobalSign — http://rsdn.ru/forum/shareware/4837579.1

Сегодня получил от них письмо следующего содержания:

Dear GlobalSign Customer,

Please be aware that beginning June 1, 2013 GlobalSign will no longer be offering
Code Signing Certificates for Individuals. This change of offering is due to
GlobalSign’s aim to ensure the highest-level of security best practices.

We are contacting you today because our records show that you have an Individual
level Code Signing Certificate that is due to expire on 7/26/2013. Your current
Certificate will remain valid until the expiration date however, you will not be
able to renew at that level.

Once the Individual Level Certificate expires you will need to upgrade to the
Software Vendor/Organization level Code Signing Certificate to continue your service
with GlobalSign. To obtain a Software Vendor & Organization level Code Signing
Certificate you will need to be a legally registered business entity.

We apologize in advance for any inconvenience.

If you have any questions, please don’t hesitate to reach out to a member of our
GlobalSign support team.

Kind regards,

The GlobalSign Team

В общем, все, крышка, приехали.
А я уже, наивный, денюжку припас на карточке...

Интересно, а ИП (ЧП) идет за "legally registered business entity"?

Здравствуйте, dsorokin, Вы писали:

D>Интересно, а ИП (ЧП) идет за "legally registered business entity"?
Да.

Здравствуйте, okman, Вы писали:

O>В общем, все, крышка, приехали.
O>А я уже, наивный, денюжку припас на карточке...
До 1 июня можно продлить. Кто мешает на 3 года продлить? А там, глядишь, либо ишак заговорит, либо падишах того.

Здравствуйте, dsorokin, Вы писали:

D>Интересно, а ИП (ЧП) идет за "legally registered business entity"?

Знакомый получал Certificate for Organization на ИП.
Но то было до "санкций", как сейчас — неизвестно.

Здравствуйте, pva, Вы писали:

pva>До 1 июня можно продлить. Кто мешает на 3 года продлить? А там, глядишь, либо ишак заговорит, либо падишах того.

Ну так они же четко дали понять:

Your current Certificate will remain valid until the expiration date however,
you will not be able to renew at that level.

Здравствуйте, okman, Вы писали:

O>Ну так они же четко дали понять:
O>

Your current Certificate will remain valid until the expiration date however,
O>you will not be able to renew at that level.

А что, обязательно ждать до конца срока? Нельзя разве прямо сейчас продлить?

Здравствуйте, pva, Вы писали:

pva>А что, обязательно ждать до конца срока? Нельзя разве прямо сейчас продлить?

Не знаю, может в этом и есть какой-то смысл. Попробую разузнать у техподдержки.

Здравствуйте, pva, Вы писали:

pva>А что, обязательно ждать до конца срока? Нельзя разве прямо сейчас продлить?

Спросил в техподдержке — сказали, что можно.

Оппаньки. Неожиданно.

pva>>А что, обязательно ждать до конца срока? Нельзя разве прямо сейчас продлить?

O>Спросил в техподдержке — сказали, что можно.

Для этого на странице редактирования последнего сертификата нужно выбрать "Reissue Certificate" ?

Здравствуйте, acDev, Вы писали:

D>Оппаньки. Неожиданно.

Да, вот так.
А буквально пару недель назад они присылали "Expiration Warning" с предложением продлить.

O>>Спросил в техподдержке — сказали, что можно [продлить до 1 июня].

D>Для этого на странице редактирования последнего сертификата нужно выбрать "Reissue Certificate" ?

HOW TO RENEW
--------------------------------------------------
1. Log into your GlobalSign Certificate Center (GCC) Account.
2. Click on the 3rd Top Tab.
3. Click Order History on the left side.
4. Click the Search Button.
5. Click on the Renew Button next to the order you wish to renew.

Здравствуйте, okman, Вы писали:

O> 5. Click on the Renew Button next to the order you wish to renew.

Ну как бы на страничке со списком всех ордеров есть только кнопка "Edit", по нажатию которой становятся доступны "Revoke Cert" и "Reissue Cert".

Здравствуйте, okman, Вы писали:

O> 5. Click on the Renew Button next to the order you wish to renew.

Если у вас эта ссылка ативна (кнопка "Renew"), то укажи здесь URL-запрос на этот Renew.
И если при Renew для уменьшения цены нужно вводить какойто номер, то им тоже поделитесь плиз.

Здравствуйте, acDev, Вы писали:

D>Ну как бы на страничке со списком всех ордеров есть только кнопка "Edit", по нажатию которой становятся доступны "Revoke Cert" и "Reissue Cert".

Логинимся на GlobalSign, жмем на вкладку "CODE SIGNING, PERSONAL SIGN, ..." (сверху),
выбираем слева "Order History" и жмем на кнопку "Search". Появляется список заказов,
там должна быть кнопка "Renew", у меня она есть.

D>И если при Renew для уменьшения цены нужно вводить какойто номер, то им тоже поделитесь плиз.

Написал в личном сообщении.

Здравствуйте, okman, Вы писали:

O>выбираем слева "Order History" и жмем на кнопку "Search". Появляется список заказов,
O>там должна быть кнопка "Renew", у меня она есть.

У меня такой кнопки нету. Видимо до её появления мне ещё ждать 5 месяцев.
Вот для кнопки "Edit" такой запрос:

<form action="/pc/certificate/orderlist/editOrder.do" method="post" name="searchForm">
<input type="submit" name="editOrder" value="Edit" tabindex="11">
<input type="hidden" value="OS20121021xxxx" name="orderNo">
</form>

Поделись запросом для кнопки "Renew". Попробую досрочно выполнить этот запрос. Врятли на сервере есть доп. проверка.

Здравствуйте, acDev, Вы писали:

D>У меня такой кнопки нету. Видимо до её появления мне ещё ждать 5 месяцев.

А что саппорт ?

Здравствуйте, okman, Вы писали:

O>А что саппорт ?

Обратился в саппорт с вопросом о продлении сертификата на 3 года.
Вот что ответили:

Due to increased security within the Certification Authority industry, we are no longer issuing code signing certificates to individuals, only organizations. I apologize for the inconvenience.

А сегодня получил следующее письмо:

As an update, you are permitted to purchase a New Certificate Individual
Code Signing Certificate (up to 3 Years Validity) between now and May 31st,
2013.

How to Order:
1: Login: www.globalsign.com/login username: XXXXX
2: To receive pricing for your application, use campaign code: YYYYY
3: In addition to the online application, you will need to fill out the Code
Signing for Individuals Registration Form
https://www.globalsign.com/resources/code-signing-for-individuals-registrati
on-form.pdf and email to vetting-us@globalsign.com. Also, you will need to
send a copy of your Valid Form of Identification (ex. Passport).

Вот и думаю теперь что делать.

Здравствуйте, acDev, Вы писали:

D>А сегодня получил следующее письмо:
D>[q]As an update, you are permitted to purchase a New Certificate Individual
D>Code Signing Certificate (up to 3 Years Validity) between now and May 31st,
D>2013.

У них там, похоже, левая рука не знает, что делает правая нога. В свете моей двухмесячной осенней эпопеи — неудивительно.

Еще неплохо бы выяснить, что именно означает дата 1 июня — окончание приема заявок, или же выпуска сертификатов. Если второе — вновь обратившимся уже ни за что не успеть, почта банально не довезет писем с кодами подтверждения.

Продолжаем тему сертификатов и подписи драйверов.

Недавно еще раз прошелся по организациям вот из этого списка:
http://msdn.microsoft.com/en-us/library/windows/hardware/gg487315.aspx
На этот раз постарался вытянуть максимум информации. И вот что получилось.

Disclaimer

Приведенная информация не претендует на полноту и стопроцентную достоверность.
К тому времени, когда вы будете читать эти строки, условия приобретения сертификатов
могут поменяться.

Если у кого-то есть чем дополнить, уточнить или опровергнуть написанное — милости прошу.

	Certum
	Сайт: www.certum.eu Корневые сертификаты: Certum Trusted Network CA Стоимость: 120/190 Евро в год. Доступно два сертификата — "Standard Code Signing" и "Microsoft Code Signing". Вроде бы организация работает с физ. лицами. На этой странице http://www.certum.eu/certum/cert,expertise_tsupp_cs_requaired.xml написано: DDocuments required form a private person representing another private individual or an organisation: If the Subscriber represents an entity whose personal details will be included in the certificate or if the certificate is ordered on behalf of the Subscriber or another private person: * a copy of the document (identity card, passport, residency card, driver's license) with which it will be possible to confirm the identity of the person whose personal details will be on the certificate and/or the person responsible for purchasing the certificate. The copy should contain the current date along with a note „I hereby confirm compliance with the original” and the signature of the owner of the document. * certificate of employment or an authorisation confirming the relationship of the person ordering the certificate with the organisation or the person represented on the certificate. На счет второго пункта не совсем понятно. Что такое "certificate of employment" и "authorisation confirming the relationship of the person ordering the certificate with the organisation" ?

	DigiCert
	Сайт: www.digicert.com Корневые сертификаты: DigiCert Assured ID Root CA, DigiCert Global Root CA, DigiCert High Assurance EV Root CA Стоимость: 220/450 USD в год. Предлагается два сертификата: "Code Signing" и "EV Code Signing". EV — это "Extended Validation", более тщательная и строгая процедура проверки. Как я понял, EV — это синоним "с физлицами не работаем". Вот страница сравнения сертификатов: http://www.digicert.com/code-signing/ev-code-signing-compared.htm Здесь видно, что опция "Microsoft Kernel-Mode Code Signing" доступна для обоих сертификатов. Теперь дело за малым — узнать, продаются ли они обычным смертным. Как ни странно, помогла страница покупки. Напротив поля "Organization Name" всплыла подсказка, содержащая следующий фрагмент: Less commonly, if you do not have a legally registered organization name, you must enter your own full name here. Судя по всему, препятствий нет. Хотя нужно уточнять у техподдержки, как всегда.

	Entrust.net
	Сайт: www.entrust.net Корневые сертификаты: Entrust.net Certification Authority (2048) Стоимость: неизвестно На странице "Products -> Code Signing" ни слова ни про подписывание драйверов, ни про individuals, сразу предлагают заполнить форму. На заполнение приходит такой ответ: Please note: Entrust Code Signing Certificates are available exclusively to Entrusts Certificate Management Service customers. The Certificate Management Service is provided at no additional cost to customers with five or more certificates of any type. If you wish to purchase 5 or more certificates please respond to this email and I will forward to the account manager to contact you. Чтобы купить сертификат, нужно стать пользователем системы, а чтобы им стать, нужно купить не менее пяти сертификатов. Рекурсия, сэр.

	GeoTrust
	Сайт: www.geotrust.com Корневые сертификаты: GeoTrust Primary Certification Authority, GeoTrust Primary Certification Authority – G3 Стоимость: отсутствует В настоящий момент компания принадлежит Symantec, страница покупки ведет на сайт Symantec (см. ниже).

	GlobalSign
	Сайт: www.globalsign.com Корневые сертификаты: GlobalSign Root CA Стоимость: 130 (до 1 июня 2013 года)/230 USD в год. С 1 июня 2013 года больше не выдает сертификаты частным лицам.

	Go Daddy
	Сайт: www.godaddy.com Корневые сертификаты: Go Daddy Root Certificate Authority – G2 Стоимость: 200 USD в год. Не продает сертификаты частным лицам. Ссылка на FAQ: http://support.godaddy.com/help/article/4833/code-signing-frequently-asked-questions?isc=sshl5eu02 Q: Can I request a code signing certificate as an individual? A: No. Only businesses whose identity can be verified via various state or federal governmental agencies can be issued a code signing certificate. Но это еще не все. У Go Daddy сейчас два основных сертификата — "Code Signing" и "Driver Signing", оба стоят одинаково. Первым можно подписывать только юзермодный код, а второй для драйверов. Первый может использовать как SHA-1, так и SHA-2, второй только SHA-2. "Фишка" в том, что до Windows 8 SHA-2 не поддерживается ядром и драйверы, подписанные сертификатом "Driver Signing", на них не запускаются. Проблема обсуждается здесь: http://stackoverflow.com/questions/12291461/signed-inf-driver-works-on-the-computer-where-it-was-signed-not-others http://social.msdn.microsoft.com/Forums/en-US/wdk/thread/1fede768-7925-4f30-8eef-ce5bd08b0b60 http://www.davidegrayson.com/signing/

	NetLock
	Сайт: www.netlock.hu Корневые сертификаты: NetLock Arany (Class Gold), NetLock Platina (Class Platinum) Стоимость: неизвестно Не смог осилить инструкции на чужом языке (венгерский, вроде бы).

	Secom Trust Systems
	Сайт: www.secomtrust.net Корневые сертификаты: Security Communication RootCA1 Стоимость: неизвестно Аналогично предыдущему пункту (не осилил чужой язык). На этот раз китайский, если не ошибаюсь.

	Starfield
	Сайт: www.starfieldtech.com Корневые сертификаты: Starfield Root Certificate Authority – G2 Стоимость: неизвестно Не нашел, где у них вообще сказано про Code Signing. Похоже, только SSL.

	StartCom
	Сайт: www.startssl.com Корневые сертификаты: StartCom Certification Authority Стоимость: free/60/140 USD в год. У этой компании несколько сертификатов. Comparison Chart: http://www.startssl.com/?app=40 Опция "Microsoft Kernel-Code" доступна только у сертификата EV (Extended Validation), условия получение такого сертификата довольно серъезные. Вот на этой странице http://www.startssl.com/?app=30 сказано буквально следующее: "StartSSL™ Extended Validation(расширенной ратификации) сертификаты предназначены для использования компаниями, с общеизвестными торговыми марками и получение таких сертификатов требует гораздо более усложненных процессов подачи заявления и процесса ратификации, по сравнению с другими видами. StartSSL™ Extended Validation сертификаты в настоящий момент выдаются ограниченному кругу юридических лиц, прежде всего корпорациям, коммерческим организациям (таким как единоличное владение, полное товарищество, некорпоративные ассоциации и т.д.) и правительственным организациям.

	TC TrustCenter
	Сайт: www.trustcenter.de Корневые сертификаты: TC TrustCenter Class 2 CA II Стоимость: недоступно Данная организация прекратила выпуск сертификатов. http://www.trustcenter.de/en/EOS-Notification.htm August 1, 2012 In June 2010, Symantec acquired TC TrustCenter, including the US-based business operating as PGP TC, Inc. (collectively, “TC TrustCenter”) as part of the acquisition of PGP Corporation. Symantec has listened carefully to its customers and partners and carefully evaluated how to best serve its customer base, including those currently using products and services from TC TrustCenter. Concentrating resources on the current suite of Symantec Identity and Authentication Services offerings is the best way to continue to deliver state-of-the-art products and services.

Thawte

Сайт: www.thawte.com
Корневые сертификаты: Thawte Primary Root CA, Thawte Primary Root CA – G3
Стоимость: 300 USD в год.

Компания Thawte в рекламе не нуждается.
Но по непонятным причинам, подписывание kernel-mode кода почти нигде на сайте не упоминается.
Зарегистрировался, скачал PDF-документ под названием "Thawte Code Signing", ничего
особого в нем не нашел, обычная рекламка, есть в нем ссылки, но они не работают.

Зато нашел вот что (инструкция по подписыванию x64-драйверов на Vista с использованием
кросс-сертификата Thawte, тема последний раз обновлялась в марте 2012):
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO5565&actp=search&viewlocale=en_US&searchid=1368135543307

Написал письмо в техподдержку с вопросами: 1) позволяет ли сертификат for individuals
подписывать драйвера на Vista-x64 и старше; 2) какой корневой сертификат будет включен в
цепочку сертификатов.

Пришел ответ:

It doesn't matter if the code signing certificate is bought for an organization or
an individual, the certificate is still chained to the same Thawte Primary Root CA.

Here is a page that describes the different ROOTS. Please look at the description of
Root 1 Thawte Primary Root CA. https://www.thawte.com/roots/index.html

То есть, независимо от типа сертификата (individuals/organizations), в корне цепочки
сертификатов будет этот рут от Thawte.

А вот что написано на странице сертификатов Thawte по поводу этого рута:

Root 1
Thawte Primary Root CA
Description: This root CA is the root used for Thawte Extended Validation Certificates
and should be included in root stores. After June, 2010 this root will also be the
primary root used for all Thawte SSL and Code Signing certificates.

Country = US
Organization = thawte, Inc.
Organizational Unit = Certification Services Division
Organizational Unit = (c) 2006 thawte, Inc. — For authorized use only
Common Name = thawte Primary Root CA
Validity Start: November 17, 2006
Validity End: July 16, 2036
Key Size: RSA (2048 bits)
Signature Algorithm: SHA1 With RSA
Serial Number: 34 4e d5 57 20 d5 ed ec 49 f4 2f ce 37 db 2b 6d
Certificate SHA1 fingerprint: 91 c6 d6 ee 3e 8a c8 63 84 e5 48 c2 99 29 5c 75 6c 81 7b 81

Я скачал этот сертификат и его кросс со страницы кросс-сертификатов — их параметры
"subject key identifier" (идентификатор ключа субъекта) действительно совпадают.

От:	okman	https://searchinform.ru/
Дата:	07.05.13 22:03
Оценка:	4 (1)

	От:	dsorokin
	Дата:	08.05.13 04:42
	Оценка:

От:	Kernan	https://rsdn.ru/forum/flame.politics/
Дата:	08.05.13 07:59
Оценка:

	От:	pva
	Дата:	08.05.13 08:10
	Оценка:

От:	okman	https://searchinform.ru/
Дата:	08.05.13 08:30
Оценка:

От:	Евгений Музыченко	https://software.muzychenko.net/ru
Дата:	10.05.13 04:41
Оценка:

	От:	acDev
	Дата:	09.05.13 05:21
	Оценка:

	От:	acDev
	Дата:	09.05.13 07:35
	Оценка:

	От:	acDev
	Дата:	09.05.13 07:51
	Оценка:

	От:	acDev
	Дата:	09.05.13 08:20
	Оценка: