посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов.
Основной критерий — "подешевле, шоб було"
Здравствуйте, sjukov, Вы писали:
S>посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов. S>Основной критерий — "подешевле, шоб було"
Самый простой, дешевый и на "шоб було" — startssl.com
Дадут на два года за 60 баксов, плюс можно наделать на сайты сертификаты (до кучи).
Одна проблема: timestamp для их сертификатов не работает.
Здравствуйте, YuriKobets, Вы писали:
YK>Здравствуйте, sjukov, Вы писали:
S>>посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов.
YK>Самый простой, дешевый и на "шоб було" — startssl.com YK>Дадут на два года за 60 баксов, плюс можно наделать на сайты сертификаты (до кучи). YK>Одна проблема: timestamp для их сертификатов не работает.
Я не в теме, но отсутсвие поддержки "timestamp" чем чревато ?
Здравствуйте, bnk, Вы писали:
bnk>Имеется в виду "подпсь, даже с таймстемпом, протухает вместе с сертификатом" (т.е. через 2 года). bnk>Инфа с оффсайта (строка "timestamp"), и личный опыт.
Фига себе. То есть этот сертификат нельзя использовать для cross-signing against 3rd party timestamping server?
Как-то верится с трудом. То есть по сути вот это должно отваливаться с ошибкой?
Здравствуйте, wantus, Вы писали:
W>Фига себе. То есть этот сертификат нельзя использовать для cross-signing against 3rd party timestamping server? W>Как-то верится с трудом. То есть по сути вот это должно отваливаться с ошибкой?
W>signtool.exe sign /v /sha1 "...." /t "http://timestamp.digicert.com" test.exe
Уже обсуждали раза три.
Все подписывается успешно, и таймстемп (строка выше) отрабатывает успешно, просто подпись протухает вместе с сертификатом.
За это отвечает специальный флаг сертификата, который у сертификатов startssl установлен.
W>>signtool.exe sign /v /sha1 "...." /t "http://timestamp.digicert.com" test.exe bnk>Уже обсуждали раза три. bnk>Все подписывается успешно, и таймстемп (строка выше) отрабатывает успешно, просто подпись протухает вместе с сертификатом. bnk>За это отвечает специальный флаг сертификата, который у сертификатов startssl установлен.
Ну "протухнет" означает что такой модуль впринципе нельзя будет запустить/установить, или
пользователь просто получит какойто неприятный ворнинг ?
Здравствуйте, sjukov, Вы писали:
S>Ну "протухнет" означает что такой модуль впринципе нельзя будет запустить/установить, или S>пользователь просто получит какойто неприятный ворнинг ?
Второе — ворнинг. Т.е. после "протухания" подписи будет примерно то же самое, что и без подписи вообще.
Решается переподписыванием инсталлятора (ну или выпуском новой версии) раз в два года.
Здравствуйте, bnk, Вы писали:
bnk>Уже обсуждали раза три. bnk>Все подписывается успешно, и таймстемп (строка выше) отрабатывает успешно, просто подпись протухает вместе с сертификатом. bnk>За это отвечает специальный флаг сертификата, который у сертификатов startssl установлен.
Ха, действительно. Даже OID нашел для этого EKU — 1.3.6.1.4.1.311.10.3.13.
Теоретически — это потому, что StartSSL не поддерживает revocation lists для этих сертификатов. Практически же, похоже, что всё ровно наоборот — они решили продавать дешевые signing certs и потом придумали как их кастрировать, чтобы продажи дорогих не пострадали. Я очень impressed. Кто-то где-то за этот креатив получил охрененный бонус
Ты прежде чем покупать сертификат, вот эту статью прочитай (там 2 части).
Тут кто-то уже писал что сертификаты не нужны если ты только запускаешь приложение т.к. если ты действительно хочешь подписать приложение правильно, то нужно выложить в районе $500 за EV Code Signing сертификат. А если приложение крос-платформенное и под OS X, то ещё $100 за сертификат от Apple.
В общем ты подумай нужны тебе такие расходы или нет. В моём случае, реальный опыт показал, что хватило бы только сертификата от Apple т.к. без него запустить приложение под OS X нормальному пользователю практически не реально, а под маздай прокликав кучу диалогов вполне можно.
Мы были здесь. Но пора идти дальше. (с) Дуглас Коупленд, Рабы "Микрософт"
Здравствуйте, Closer, Вы писали:
C>Тут кто-то уже писал что сертификаты не нужны если ты только запускаешь приложение т.к. если ты действительно хочешь подписать приложение правильно, то нужно выложить в районе $500 за EV Code Signing сертификат.
Ну 500 это как-то сильно сурово.
StartSsl, увы, EV частникам не продает вообще (а его хоть кто-то частникам продает?) — а так оно у них за 140, и без засады с таймстемпом.
Здравствуйте, sjukov, Вы писали:
S>посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов. S>Основной критерий — "подешевле, шоб було"
Сертификат comodo через ksoftware.net. На год — $95. Я взял на 5 лет за $365 ($73/год)
Здравствуйте, Ivanoff, Вы писали:
I>Здравствуйте, sjukov, Вы писали:
S>>посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов. S>>Основной критерий — "подешевле, шоб було"
I>Сертификат comodo через ksoftware.net. На год — $95. Я взял на 5 лет за $365 ($73/год)
А если бы погуглил купон на скидку то взял бы еще дешевле
Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, sjukov, Вы писали:
S>>Ну "протухнет" означает что такой модуль впринципе нельзя будет запустить/установить, или S>>пользователь просто получит какойто неприятный ворнинг ?
bnk>Второе — ворнинг. Т.е. после "протухания" подписи будет примерно то же самое, что и без подписи вообще. bnk>Решается переподписыванием инсталлятора (ну или выпуском новой версии) раз в два года.
Нужно подписывать только инсталлятор или все исполняемые файлы/dll тоже?