Здравствуйте, okman, Вы писали:
O>Я пробовал, но не получилось. По-любому цепочка сертификатов будет содержать SHA-2, а если O>ядро этот алгоритм не понимает, драйвер не загрузится.
Грустно, придется покупать оба.
При выдаче сертификатов на ИП они не пихают в реквизиты домашний адрес?
Здравствуйте, okman, Вы писали:
O>У нас сертификат GlobalSign, выдан на ООО, ничего такого в свойствах нету, O>только название компании и "BE", т.е. Беларусь.
У GlobalSign как раз явно написано, что они отображают в сертификатах адрес организации. Странные они...
Здравствуйте, Conr, Вы писали:
C>EV от digicert получается без проблем на ИП
Я зарегистрировал ИП и пошел за сертификатом к DigiCert. Отправил им скан свидетельства, теперь они просят, во-первых, получить у юриста или нотариуса подтверждение моей личности и регистрационных документов, а во-вторых — опубликоваться вместе с адресом (домашним, понятное дело) и номером телефона в Dun and Bradstreet или Google Business. А мне совершенно не хочется публиковать эти персональные, по сути, данные — тем более, что я их нигде не рекламирую и сообщаю только контрагентам.
Если Вы получали у них сертификат — как проходили процедуру подтверждения?
Здравствуйте, Евгений Музыченко, Вы писали:
C>>EV от digicert получается без проблем на ИП
ЕМ>Я зарегистрировал ИП и пошел за сертификатом к DigiCert. Отправил им скан свидетельства, теперь они просят, во-первых, получить у юриста или нотариуса подтверждение моей личности и регистрационных документов, а во-вторых — опубликоваться вместе с адресом (домашним, понятное дело) и номером телефона в Dun and Bradstreet или Google Business. А мне совершенно не хочется публиковать эти персональные, по сути, данные — тем более, что я их нигде не рекламирую и сообщаю только контрагентам.
ЕМ>Если Вы получали у них сертификат — как проходили процедуру подтверждения?
У меня немного другой алгоритм был: я сначала получил номер DUNS, а потом пошел в DigiCert.
При регистрации в Duns указывал адрес регистрации ИП, в моем случае это домашний. Но ничего страшного я в этом не вижу: во-первых, эта же информация есть и в ЕГРИП, во-вторых, точно так же доступна только по запросу, в открытом виде не находится.
При первичной проверке DigiCert просто дал номер DUNS, дополнительно мне позвонили по телефону. Больше ничего не потребовалось.
В сертификате в итоге адреса нет, только страна. И выпущен, кстати, на DBA Name, никаких IP Pupkin. В DUNS анкете было какое-то поле специальное, то ли Trade Name, то ли English Name. В телефонном разговоре с менеджером DigiCert специально уточнил, что сертификат мне нужен именно на него.
Когда потребовался серт с Extended Validation, их устроила банковская выписка по оплате налогов и телефонный разговор с сотрудником валютного контроля банка, в котором обслуживается ИП. Сотрудник ВК просто потому, что он английский знал и согласился, что ему позвонят.
Здравствуйте, Conr, Вы писали:
C>У меня немного другой алгоритм был: я сначала получил номер DUNS, а потом пошел в DigiCert.
Мне DUNS и прочие бизнес-ресурсы на фиг не нужны, поскольку по заказам я не работаю, лично себя вообще не рекламирую, да и продукты свои тоже особо не продвигаю.
Кстати, сколько времени заняла регистрация DUNS?
C>При регистрации в Duns указывал адрес регистрации ИП, в моем случае это домашний. Но ничего страшного я в этом не вижу: во-первых, эта же информация есть и в ЕГРИП, во-вторых, точно так же доступна только по запросу, в открытом виде не находится.
О, это уже радует. Мне казалось, что информация в DUNS будет свободно видна любому желающему, а это напрягает видимостью даже не столько адреса, сколько телефона, ибо какой-нибудь менеджер, нагугливший запись, легко сподобится позвонить, не заморачиваясь разницей во времени.
C>При первичной проверке DigiCert просто дал номер DUNS, дополнительно мне позвонили по телефону.
Насколько они там говорливы? Я по-английски худо-бедно говорю, а вот понимаю речь очень плохо. При том, что пишу практически свободно, и весьма развесисто, у всех позвонивших возникает когнитивный диссонанс.
C>В сертификате в итоге адреса нет, только страна. И выпущен, кстати, на DBA Name, никаких IP Pupkin. В DUNS анкете было какое-то поле специальное, то ли Trade Name, то ли English Name. В телефонном разговоре с менеджером DigiCert специально уточнил, что сертификат мне нужен именно на него.
А вот это странно, ибо я в форме запроса сертификата сперва указал "самопридуманное" название, на что из DigiCert сразу же спросили, где оно официально зарегистрировано. Получается, что DUNS канает за официальную регистрацию?
C>Когда потребовался серт с Extended Validation, их устроила банковская выписка по оплате налогов и телефонный разговор с сотрудником валютного контроля банка, в котором обслуживается ИП.
Это для меня не годится, ибо я ИП зарегистрировал только что, никакой деятельности и налогов там пока нет, и вряд ли сразу будет. Я даже обычную справку из налоговой представить не смогу, ибо много лет перебивался случайными контрактами и деклараций не подавал, чтобы не множить геморроя.
Здравствуйте, Евгений Музыченко, Вы писали:
C>>У меня немного другой алгоритм был: я сначала получил номер DUNS, а потом пошел в DigiCert.
ЕМ>Мне DUNS и прочие бизнес-ресурсы на фиг не нужны, поскольку по заказам я не работаю, лично себя вообще не рекламирую, да и продукты свои тоже особо не продвигаю.
Да мне DUNS тоже нужен только для сертификата Как раз чтобы его на DBA Name получить.
ЕМ>Кстати, сколько времени заняла регистрация DUNS?
Зарегистрировали за 2 дня.
C>>При регистрации в Duns указывал адрес регистрации ИП, в моем случае это домашний. Но ничего страшного я в этом не вижу: во-первых, эта же информация есть и в ЕГРИП, во-вторых, точно так же доступна только по запросу, в открытом виде не находится. ЕМ>О, это уже радует. Мне казалось, что информация в DUNS будет свободно видна любому желающему, а это напрягает видимостью даже не столько адреса, сколько телефона, ибо какой-нибудь менеджер, нагугливший запись, легко сподобится позвонить, не заморачиваясь разницей во времени.
Если я правильно понимаю механизм, то просто так не нагуглить, нужно запрос в DNB делать. Но, возможно, это очень просто, не интересовался. "Левых" звонков на номер из DUNS анкеты не было, только от DigiCert.
C>>При первичной проверке DigiCert просто дал номер DUNS, дополнительно мне позвонили по телефону. ЕМ>Насколько они там говорливы? Я по-английски худо-бедно говорю, а вот понимаю речь очень плохо. При том, что пишу практически свободно, и весьма развесисто, у всех позвонивших возникает когнитивный диссонанс.
Ну у меня английский тоже не идеальный. Но проблем не было, менеджер к такому явно был готов.
C>>В сертификате в итоге адреса нет, только страна. И выпущен, кстати, на DBA Name, никаких IP Pupkin. В DUNS анкете было какое-то поле специальное, то ли Trade Name, то ли English Name. В телефонном разговоре с менеджером DigiCert специально уточнил, что сертификат мне нужен именно на него. ЕМ>А вот это странно, ибо я в форме запроса сертификата сперва указал "самопридуманное" название, на что из DigiCert сразу же спросили, где оно официально зарегистрировано. Получается, что DUNS канает за официальную регистрацию?
Да. Я только для этого в DUNS и регистрировался. Кстати, в DigiCert я только через 10 месяцев после получения DUNS номера обратился, возможно это положительную роль сыграло.
C>>Когда потребовался серт с Extended Validation, их устроила банковская выписка по оплате налогов и телефонный разговор с сотрудником валютного контроля банка, в котором обслуживается ИП. ЕМ>Это для меня не годится, ибо я ИП зарегистрировал только что, никакой деятельности и налогов там пока нет, и вряд ли сразу будет. Я даже обычную справку из налоговой представить не смогу, ибо много лет перебивался случайными контрактами и деклараций не подавал, чтобы не множить геморроя.
Для "обычного" сертификата кроме DUNS номера вообще ничего не потребовалось. Если нужен EV, то наверняка есть и другие варианты. Менеджеры, с которыми я общался, мне показались адекватными и даже где-то дружелюбными. Может быть просто повезло
Здравствуйте, Conr, Вы писали:
C>Да мне DUNS тоже нужен только для сертификата Как раз чтобы его на DBA Name получить.
Не вижу в форме на dandb.com поля насчет DBA — есть только Business Name. Кстати, а что указывать в Legal Structure? Там нет ни Sole Proprietorship, ни Individual.
C>Для "обычного" сертификата кроме DUNS номера вообще ничего не потребовалось. Если нужен EV, то наверняка есть и другие варианты.
Пока мне полностью хватает и обычного — еще ни один пользователь не пожаловался, но он выдан в 2013-м, это должно иметь значение. Спрашивал у разработчиков, насколько успешно грузятся драйверы, подписанные обычным сертификатом, выданным в конце 2015-го или начале 2016-го — отзывы противоречивые. У кого-то нет проблем, у кого-то десятка не грузит в режиме SecureBoot. Поэтому и настроился на EV.
C>Менеджеры, с которыми я общался, мне показались адекватными и даже где-то дружелюбными. Может быть просто повезло
Не, мне их менеджеры тоже нравятся — отвечают быстро, подробно, пока все понятно.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Не вижу в форме на dandb.com поля насчет DBA — есть только Business Name. Кстати, а что указывать в Legal Structure? Там нет ни Sole Proprietorship, ни Individual.
Когда я получал DUNS, анкета была в виде .doc файла, там другие поля были. Сейчас я бы попробовал указать Business Name и Legal Structure как Not Available или Other.
Здравствуйте, Conr, Вы писали:
C>Сейчас я бы попробовал указать Business Name и Legal Structure как Not Available или Other.
Сейчас там основной затык в том, что страной по умолчанию стоит USA, и поле неактивно — сменить не получается. Пойду спать, с утра буду ломиться в их чат за разъяснениями.
Кстати, у кого-нибудь есть соображения, в каком направлении искать адвоката для Face-to-Face Authentication? Я позвонил в пару новосибирских юридических фирм, занимающихся международной практикой — нигде о таком вообще не слышали. Позвонил в нотариальную палату, там перевели на своих юристов — аналогично. Наши нотариусы могут лишь удостоверить соответствие личности изображению на фотографии. Спрашивал у DigiCert, годится ли нотариус — ответили, что нужен или lawyer, или accountant. Второй, как я понимаю, вообще бухгалтер — разве какой-нибудь российский бухгалтер в здравом уме за такое возьмется?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Кстати, у кого-нибудь есть соображения, в каком направлении искать адвоката для Face-to-Face Authentication? Я позвонил в пару новосибирских юридических фирм, занимающихся международной практикой — нигде о таком вообще не слышали. Позвонил в нотариальную палату, там перевели на своих юристов — аналогично. Наши нотариусы могут лишь удостоверить соответствие личности изображению на фотографии. Спрашивал у DigiCert, годится ли нотариус — ответили, что нужен или lawyer, или accountant. Второй, как я понимаю, вообще бухгалтер — разве какой-нибудь российский бухгалтер в здравом уме за такое возьмется?
По поводу accountant. Подходит любой сотрудник банка, который сможет подтвердить, что вы у них обслуживаетесь. DigiCert важно просто позвонить по официальному номеру (готовы еще набрать добавочный номер сотрудника), и получить подтверждение. Согласится ли кто-нибудь в вашем банке , у меня получилось такого человека найти.
Здравствуйте, Conr, Вы писали:
C>По поводу accountant. Подходит любой сотрудник банка, который сможет подтвердить, что вы у них обслуживаетесь.
Проблема в том, что я еще нигде не обслуживаюсь в качестве ИП — только как физлицо, а это их, подозреваю, не устроит. Хотя спрошу.
C>DigiCert важно просто позвонить по официальному номеру (готовы еще набрать добавочный номер сотрудника), и получить подтверждение.
А как же эта простыня Face-to-Face, которую они попросили распечатать, дать на подпись официальному лицу и отправить им скан? Там речь о проверке моих регистрационных документов на ИП.
А D&B и вовсе ведет себя странно: в форме данных о бизнесе жестко забиты United States, сменить не получается. Дождался вечера, зашел к ним в чат — сотрудник прислал вот такое сообщение:
Unfortunately, I cannot fulfill requests on international companies through chat. To apply for an international D&B D-U-N-S® Number, you’ll need to call 1-800-234-3867. You may also contact a D&B Global Customer Service Center: http://www.dnb.com/customer-service/global-customer-service-centers.html
и перестал отвечать. Соединился с другим сотрудником — он прислал это же сообщение, и тут же отключился (даже без "bye"). Такое впечатление, что от меня старались побыстрее избавиться, не заботясь об этикете. После подчеркнутой вежливости буржуйских операторов такой подход вызывает когнитивный диссонанс.
Сейчас звонить в российский саппорт уже поздно, теперь уже завтра...
Интересно, у GlobalSign, где у меня истекает старый сертификат, будет такая же бодяга? Затею-как с ними переписку тоже — в конце концов, можно пережить лишние $500 за три года, если не будут выносить мозг.
Здравствуйте, Conr, Вы писали:
C>Когда я получал DUNS, анкета была в виде .doc файла, там другие поля были.
Сейчас, как выяснилось, головная контора вообще не выдает номеров иностранным компаниям — они делегировали это локальным представителям, так что бесплатность номера кончилась. У нас таким представителем является Интерфакс, которому нужно заплатить 12240 руб.
Если б мне действительно была нужна известность и солидность в виде DUNS — сумма небольшая, но в сложившихся условиях это начинает смахивать на вымогательство.
В последнем ответе представитель DigiCert написал, что их устроит и регистрация в Google My Business, которая пока бесплатна. Но там домашний адрес и личный телефон, насколько я понимаю, будут свободно гуглиться, и даже подсовываться автоматом по любому сколько-нибудь подходящему запросу...
Кто-нибудь вкурсе, будут ли в Windows 10 включать обязательное подписывание драйверов EV Code Signing Certificate?
Я сейчас попробовал загружать драйвер, подписанный обычным сертификатом (две подписи — sha1 и sha256, как рекомендует MS).
Вроде как всё работает.
Пробовал на:
— Windows 10 32 и 64 бит на VirtualBox без UEFI Secure Boot;
— На двух десктопах с UEFI Secure Boot.
— На ноутбуке acer с UEFI Secure Boot.
Везде ставил все последние апдейты, пробовал ставить самые свежие апдейты Windows 10 Developer Preview.
Везде драйвера нормально загружаются и работают.
Вот думаю стоит ли начинать канитель с получением EV сертификата? Какая вообще официальная позиция MS на сегодня?
MS наконец обновила страницу с Driver Signing Policy.
Расписано, когда требуется драйвер, пропущенный через MS Dev Portal.
На С НУЛЯ установленных Windows version 1607 (это anniversary update) со включённым Secure Boot будут требовать драйвера с WHQL signature.
Если выполняется ЛЮБОЕ из условий:
— Windows была обновлена до Windows 10, version 1607 с более старой сборки
— Secure Boot отключен
— Driver подписан старым сертификатом, выпущенным до July 29th 2015.
То драйвер загрузится и без этого.
Starting with new installations of Windows 10, version 1607, Windows will not load any new kernel mode drivers which are not signed by the Dev Portal
...
Cross-signed drivers are still permitted if any of the following are true:
The PC was upgraded from an earlier release of Windows to Windows 10, version 1607.
Secure Boot is off.
Driver was signed with cross-signing certificate issued prior to July 29th 2015.
Last year, we announced that beginning with the release of Windows 10, all new Windows 10 kernel mode drivers must be submitted to the Windows Hardware Developer Center Dashboard portal (Dev Portal) to be digitally signed by Microsoft. However, due to technical and ecosystem readiness issues, this was not enforced by Windows Code Integrity and remained only a policy statement.
Я пробовал Windows 10 64 с установленным anniversary update с UEFI Secure Boot — драйвера пока грузятся.
Но здесь винда обновлена с более старой сборки.
У меня нет iso с Windows 10, version 1607 что бы попробовать поставить её с нуля.
Зато я попробовал поставить Windows Server 2016 Technical Preview 5 со всеми апдейтами.
Если включить UEFI Secure Boot, драйвера не загружаются.
При попытке загрузить драйвер в журнале появляются сообщения вида:
"Сбой при запуске службы XXX из-за ошибки
Системе Windows не удается проверить цифровую подпись этого файла. При последнем изменении оборудования или программного обеспечения могла быть произведена установка неправильно подписанного или поврежденного файла либо вредоносной программы неизвестного происхождения."
При отключении UEFI Secure Boot тот же драйвер прекрасно загружается и работает.
При этом boot-драйвер загружается и с UEFI Secure Boot и без него.
Но это тоже одно из исключений, boot-драйвера без WHQL signature они запретят позже:
To prevent systems from failing to boot properly, boot drivers will not be blocked, but they will be removed by the Program Compatibility Assistant. Future versions of Windows will block boot drivers.
Спасибо за полезную информацию!
P>Я пробовал Windows 10 64 с установленным anniversary update с UEFI Secure Boot — драйвера пока грузятся. P>Но здесь винда обновлена с более старой сборки. P>У меня нет iso с Windows 10, version 1607 что бы попробовать поставить её с нуля.
Проверил вчера на чистой установке Win10-1607: при включенном Secure Boot драйверы,
подписанные стандартным сертификатом (SHA-1, выдан GlobalSign в феврале этого года),
действительно не грузятся — error 577.
Есть у меня и второй сертификат, выданный в 2013 году, так вот с ним на этой новой Винде все окей.
Серт, кстати, истекает послезавтра, так что "у нас еще есть время!"
, у меня получилось такого человека найти.
