посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов.
Основной критерий — "подешевле, шоб було"
Здравствуйте, sjukov, Вы писали:
S>посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов. S>Основной критерий — "подешевле, шоб було"
Самый простой, дешевый и на "шоб було" — startssl.com
Дадут на два года за 60 баксов, плюс можно наделать на сайты сертификаты (до кучи).
Одна проблема: timestamp для их сертификатов не работает.
Здравствуйте, YuriKobets, Вы писали:
YK>Здравствуйте, sjukov, Вы писали:
S>>посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов.
YK>Самый простой, дешевый и на "шоб було" — startssl.com YK>Дадут на два года за 60 баксов, плюс можно наделать на сайты сертификаты (до кучи). YK>Одна проблема: timestamp для их сертификатов не работает.
Я не в теме, но отсутсвие поддержки "timestamp" чем чревато ?
Здравствуйте, bnk, Вы писали:
bnk>Имеется в виду "подпсь, даже с таймстемпом, протухает вместе с сертификатом" (т.е. через 2 года). bnk>Инфа с оффсайта (строка "timestamp"), и личный опыт.
Фига себе. То есть этот сертификат нельзя использовать для cross-signing against 3rd party timestamping server?
Как-то верится с трудом. То есть по сути вот это должно отваливаться с ошибкой?
Здравствуйте, wantus, Вы писали:
W>Фига себе. То есть этот сертификат нельзя использовать для cross-signing against 3rd party timestamping server? W>Как-то верится с трудом. То есть по сути вот это должно отваливаться с ошибкой?
W>signtool.exe sign /v /sha1 "...." /t "http://timestamp.digicert.com" test.exe
Уже обсуждали раза три.
Все подписывается успешно, и таймстемп (строка выше) отрабатывает успешно, просто подпись протухает вместе с сертификатом.
За это отвечает специальный флаг сертификата, который у сертификатов startssl установлен.
W>>signtool.exe sign /v /sha1 "...." /t "http://timestamp.digicert.com" test.exe bnk>Уже обсуждали раза три. bnk>Все подписывается успешно, и таймстемп (строка выше) отрабатывает успешно, просто подпись протухает вместе с сертификатом. bnk>За это отвечает специальный флаг сертификата, который у сертификатов startssl установлен.
Ну "протухнет" означает что такой модуль впринципе нельзя будет запустить/установить, или
пользователь просто получит какойто неприятный ворнинг ?
Здравствуйте, sjukov, Вы писали:
S>Ну "протухнет" означает что такой модуль впринципе нельзя будет запустить/установить, или S>пользователь просто получит какойто неприятный ворнинг ?
Второе — ворнинг. Т.е. после "протухания" подписи будет примерно то же самое, что и без подписи вообще.
Решается переподписыванием инсталлятора (ну или выпуском новой версии) раз в два года.
Здравствуйте, bnk, Вы писали:
bnk>Уже обсуждали раза три. bnk>Все подписывается успешно, и таймстемп (строка выше) отрабатывает успешно, просто подпись протухает вместе с сертификатом. bnk>За это отвечает специальный флаг сертификата, который у сертификатов startssl установлен.
Ха, действительно. Даже OID нашел для этого EKU — 1.3.6.1.4.1.311.10.3.13.
Теоретически — это потому, что StartSSL не поддерживает revocation lists для этих сертификатов. Практически же, похоже, что всё ровно наоборот — они решили продавать дешевые signing certs и потом придумали как их кастрировать, чтобы продажи дорогих не пострадали. Я очень impressed. Кто-то где-то за этот креатив получил охрененный бонус
Ты прежде чем покупать сертификат, вот эту статью прочитай (там 2 части).
Тут кто-то уже писал что сертификаты не нужны если ты только запускаешь приложение т.к. если ты действительно хочешь подписать приложение правильно, то нужно выложить в районе $500 за EV Code Signing сертификат. А если приложение крос-платформенное и под OS X, то ещё $100 за сертификат от Apple.
В общем ты подумай нужны тебе такие расходы или нет. В моём случае, реальный опыт показал, что хватило бы только сертификата от Apple т.к. без него запустить приложение под OS X нормальному пользователю практически не реально, а под маздай прокликав кучу диалогов вполне можно.
Мы были здесь. Но пора идти дальше. (с) Дуглас Коупленд, Рабы "Микрософт"
Здравствуйте, Closer, Вы писали:
C>Тут кто-то уже писал что сертификаты не нужны если ты только запускаешь приложение т.к. если ты действительно хочешь подписать приложение правильно, то нужно выложить в районе $500 за EV Code Signing сертификат.
Ну 500 это как-то сильно сурово.
StartSsl, увы, EV частникам не продает вообще (а его хоть кто-то частникам продает?) — а так оно у них за 140, и без засады с таймстемпом.
Здравствуйте, sjukov, Вы писали:
S>посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов. S>Основной критерий — "подешевле, шоб було"
Сертификат comodo через ksoftware.net. На год — $95. Я взял на 5 лет за $365 ($73/год)
Здравствуйте, Ivanoff, Вы писали:
I>Здравствуйте, sjukov, Вы писали:
S>>посоветуйте пожалуйста сервис который выдает сертификаты для подписи исполнимых модулей, а также MSI пакетов. S>>Основной критерий — "подешевле, шоб було"
I>Сертификат comodo через ksoftware.net. На год — $95. Я взял на 5 лет за $365 ($73/год)
А если бы погуглил купон на скидку то взял бы еще дешевле
Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, sjukov, Вы писали:
S>>Ну "протухнет" означает что такой модуль впринципе нельзя будет запустить/установить, или S>>пользователь просто получит какойто неприятный ворнинг ?
bnk>Второе — ворнинг. Т.е. после "протухания" подписи будет примерно то же самое, что и без подписи вообще. bnk>Решается переподписыванием инсталлятора (ну или выпуском новой версии) раз в два года.
Нужно подписывать только инсталлятор или все исполняемые файлы/dll тоже?
Вроде бы с прошлого года COMODO для выдачи сертификата на подпись кода частнику начал требовать нотариально заверенные документы физичкски им присылать, прямо как консульство какое-нибудь.
On 12.03.2015 1:25, bnk wrote:
> Вроде бы с прошлого года COMODO для выдачи сертификата на подпись кода > частнику начал требовать *нотариально заверенные* документы физичкски им > присылать, прямо как консульство какое-нибудь.
Мало того, они еще хотели нотариуса телефонным звонком верифицировать. И
чтобы у него лицензия на аглийском была.
T>>и при чем здесь нотариусы?
bnk>Вроде бы с прошлого года COMODO для выдачи сертификата на подпись кода частнику начал требовать нотариально заверенные документы физичкски им присылать, прямо как консульство какое-нибудь.
А если не частник и DUNS есть?
Мудрого человека невозможно оскорбить, потому что правда – это не оскорбление, а ложь не стоит того, чтобы обращать на нее внимания.
Здравствуйте, salnicoff, Вы писали:
S>Мало того, они еще хотели нотариуса телефонным звонком верифицировать. И S>чтобы у него лицензия на аглийском была.
Это я рассказывал. Просто абсолютно долбанутый индус попался на том конце.
То есть собственно проблема не в процедуре, а в наличие этих самых индусов,
которых Комодо держит на обслуживании дешевых сертификатов.
On 12.03.2015 11:38, denglad wrote: > С ужастиками жить интересней — это да. Но для меня, как ИП, осенью > 2014-ого успешно сработала инструкция из swrus@ от Жени Устиненкова:
Для ИП с ДУНСом там все немного по-другому. Но я-то — просто физик.
On 12.03.2015 12:10, wantus wrote: > То есть собственно проблема не в процедуре, а в наличие этих самых индусов, > которых Комодо держит на обслуживании дешевых сертификатов.
Похоже, что проблема в том индусе, который стоит во главе конторы.
Индусы из «обслуги» ничего не решают, они все тупо делают по
инструкциям, в которых написано и про нотариусов, и про звонки
нотариусам (а доки, кстати, были на сайте выложены).
Здравствуйте, Ivanoff, Вы писали:
D>>Серт брал на год от Comodo через TuCows — d.b.a. (FIO latinitcei IP).
I>Я d.b.a. по имени сайта делал, и в сертификате именно оно и фигурирует. Тоже делал через ЧП и DUNS.
А в каком-нибудь документе у вас это DBA фигурирует? Я пытался регистрировать на DBA пару лет назад, так попросили предоставить документ. В итоге сертификат получил на Имя Фамилия.
А так, да — ИП, DUNS, пара копий счетов и звонок на мобильный от индуса.
Здравствуйте, pfranz, Вы писали:
P>Здравствуйте, Ivanoff, Вы писали:
D>>>Серт брал на год от Comodo через TuCows — d.b.a. (FIO latinitcei IP).
I>>Я d.b.a. по имени сайта делал, и в сертификате именно оно и фигурирует. Тоже делал через ЧП и DUNS.
P>А в каком-нибудь документе у вас это DBA фигурирует? Я пытался регистрировать на DBA пару лет назад, так попросили предоставить документ. В итоге сертификат получил на Имя Фамилия.
P>А так, да — ИП, DUNS, пара копий счетов и звонок на мобильный от индуса.
Фигурирует только в DUNS. Но если мне не изменяет память (тоже оформлял 2 года назад), также пришлось и сайт верифицировать (выставить в WHOIS те же имя/адрес, что и в DUNS)
Здравствуйте, Ivanoff, Вы писали:
I>Фигурирует только в DUNS. Но если мне не изменяет память (тоже оформлял 2 года назад), также пришлось и сайт верифицировать (выставить в WHOIS те же имя/адрес, что и в DUNS)
А как в DUNS удалось зафайлить DBA? Там была анкета, но имя организации они тоже брали из документов — IP ФИО.
Здравствуйте, pfranz, Вы писали:
I>>Фигурирует только в DUNS. Но если мне не изменяет память (тоже оформлял 2 года назад), также пришлось и сайт верифицировать (выставить в WHOIS те же имя/адрес, что и в DUNS)
P>А как в DUNS удалось зафайлить DBA? Там была анкета, но имя организации они тоже брали из документов — IP ФИО.
Сейчас посмотрел, в анкете было поле "Краткое или другие названия компании". А еще, возможно, потому что украинский офис DNB работал