Сертификат EV Code Signing на ИП - успешно
От: Евгений Музыченко Франция http://software.muzychenko.net/rus
Дата: 19.08.17 08:44
Оценка: 53 (7) +4
Вчера GlobalSign таки выпустил мне сертификат EV Code Signing на три года. Один день не дотянули до круглых двух месяцев с даты заказа (первый заказ был сделан 19-го июня). И нервы помотали изрядно.

Я тут уже писал, что еще в прошлом году пытался получить такой сертификат от DigiCert — там сперва радостно подтвердили, что легко дадут сертификат на любую сущность, официально зарегистрированную в государственных реестрах. После оформления заказа выяснилось, что нужно либо регистрировать реквизиты ИП в DnB (в последнее время это стало проблематично) или в Google My Business, либо заверять документы у адвоката (тогда требовали непременно адвоката, теперь вроде бы согласны и на нотариуса). Я создал запись в Google My Business, запросил открытку с кодом для подтверждения, одновременно стал искать адвоката, который бы не только согласился заверить документы, но и смог принять звонок на английском (с русскоязычной поддержкой у DigiCert проблема, хотя документы на русском они для проверки принимают и худо-бедно читают).

В итоге ни один из десятков адвокатов, которых я обзвонил, не согласился выступить заверителем. Большинство отказывалось по причине плохого знания английского, но находились и "умники", начинавшие важно рассуждать о "правовых полях" (один из признаков того, что юрист, пусть даже и опытный, страдает непониманием фундаментальных понятий, прикрывая это заумными сентенциями).

Нашелся запред арбитаржного суда, владеющий английским, и согласный на процедуру. Я отправил информацию о нем в DigiCert, они его одобрили, он заверил мне документы, но затем DigiCert заявил, что не может проверить его легитимность по независимым источникам — несмотря на то, что и арбитражный суд зарегистрирован в ВАС, и зампред фигурирует в учредительных документах, нет готового реестра, в котором были бы собраны все нужные сведения. Так что время и деньги, затраченные на работу с юристом, пропали впустую.

От Google спустя два месяца тоже не пришла открытка с кодом подтверждения (она не пришла и через год, хотя я дважды заходил в кабинет и заказывал отправку заново). Так что в 2016-м DigiCert смог предложить только обычный сертификат, я согласился.

В этом году я снова активизировал изыскания в этом направлении. В мае написал в DigiCert с вопросом, не изменилось ли что-нибудь в их правилах, и нельзя ли использовать нотариуса вместо адвоката. Они, как и в прошлый раз, радостно ответили, что все получится, мы отменили трехлетний обычный сертификат, я доплатил за EV, после чего мне опять прислали стандартное письмо с предложением заверить документы у адвоката. Я им опять написал, что наши адвокаты этим не занимаются, предложил нотариуса. Несколько дней они жевали сопли, затем прислали отказ с извинениями. Я разозлился и написал им, что они козлы и уроды, и что я больше не хочу иметь с ними дела. Чертовски не хотелось с ними ругаться — они единственные, кто в довесок к сертификату SHA2 бесплатно выпускает сертификат SHA1, да еще и дает 50% скидку на sysdev, но эта многомесячная тягомотина реально достала.

К слову, в ответ на мой запрос о том, почему не приходит открытка, отправленный 26-го мая, Google 20-го июня (почти через месяц) прислала тупую отписку, что они не могут активизировать запись об организации, поскольку там за год что-то поменялось, и просят исправить сведения. О том, почему не прислали трижды запрошенную открытку, ни слова.

19-го июня зашел в кабинет на GlobalSign, который в 2013-м выпускал мне трехлетний обычный сертификат на физлицо, и заказал EV за $950. Ради интереса заглядывал на русскоязычный портал, но там цена была 61 тысяча с копейками (спасибо Госдуме за закон об НДС для иностранных компаний). Вскоре позвонили из московского офиса с предупреждением, что при заказе через американско-европейский портал они не смогут прислать мне токен — я ответил, что токен у меня уже есть, нужен только сертификат. Затем пришло письмо с запросом стандартных документов (паспорт, свидетельство о регистрации ИП), я отправил, затем неделю стояла тишина, хотя я пару раз писал в поддержку.

После пары звонков в московский офис из vetting'а прислали письмо (почему-то на русском) с перечнем документов, которые нужно заверить у адвоката. Мотивировали тем, что ИП зарегистрирован менее трех лет назад, поэтому они вынуждены выполнять более строгую проверку, в соответствии с требованиями CAB/Browser Forum. Позвонил в московский офис, объяснил ситуацию с адвокатами, спросил про нотариуса — ответили, что вроде бы уже были прецеденты заверения документов нотариусом, и вроде как их принимали. Еще пояснили, что ничего не нужно делать на английском — достаточно только на русском, в vetting'е есть русскоязычные сотрудники, все читают/проверяют без проблем. В этом, конечно, у GlobalSign огромный плюс по сравнению с DigiCert.

Стал обзванивать нотариусов — наиболее подходящим вариантом нотариального действия предполагается "свидетельствование времени представления документов", при этом плата берется за каждый документ, в итоге набегает порядка 15-20 тысяч. Из чистого любопытства обзвонил с десяток адвокатов — все отказались, кроме одного, который уже делал кому-то подобное заверение, но был в командировке еще на две недели. Вдохновившись, обзвонил еще десяток, и в одной из коллегий напал на другого адвоката, который тоже имел опыт заверения, и никуда не уехал.

Согласовал с vetting'ом перечень заверяемых документов (паспорт, свидетельство о регистрации ИП, счета за стационарный и мобильный телефон, справка из банка об открытии счета). Адвокат заверил, в итоге получилось меньше 10 тысяч — почти втрое дешевле, чем у нотариуса.

Отправил сканы — прошла неделя, другая, никаких вестей из vetting'а. Написал в поддержку, те пообещали пнуть — безрезультатно. Позвонил в московский офис, там сказали, что уже видят непонятное затягивание процесса, разбираются, но vetting объясняет все невозможностью застать адвоката в коллегии, чтобы связаться с ним по опубликованному в реестре городскому номеру.

Еще через неделю позвонили из московского офиса с извинениями — европейско-американский vetting окончательно забил на проверку, и предложил москвичам переоформить заказ на себя. Пришлось отменять долларовый заказ, создавать другой логин для русскоязычного портала (логин почему-то привязан к стране проживания), и делать заказ за 61 тысячу.

После заказа пришло письмо от русскоязычной сотрудницы vetting'а о том, что англоязычный сотрудник перепутал шаблоны с русскими текстами, и прислал мне не тот перечень документов. Справка из банка об открытии счета и счета за телефоны оказались не нужны, вместо них потребовали "документы, подтверждающие фактическое ведение деятельности". Там упомянут "основной документ" из банка — счет за ипотеку или справка о движениях по счетам (без сумм, просто о фактах движения), и "вторичный документ" — счет за коммунальные услуги, аренду, или свидетельство о рождении, усыновлении или разводе. Плюс потребовали написать личное заявление с подтверждением верности всей предоставленной информации (и тоже заверить), и прислать фотографию, на которой я держу в руке открытый паспорт (такое фото они могут сделать и сами через Skype, в ходе прошлогодней проверки в DigiCert его тоже делали).

Поскольку список возможных документов для заверения был составлен очень невнятно, я сфотографировал все последние счета, которые у меня были, вместе со свидетельством о разводе, выданным больше десяти лет назад. Как ни странно, именно оно больше всего устроило vetting в качестве "вторичного документа", хотя я в упор не понимаю, как оно могло бы доказывать фактическое ведение мною предпринимательской деятельности. В качестве первичного документа получил в Модульбанке справку об оборотах за полгода — тоже устроила.

Съездил к адвокату, заверил заявление и копии справки/свидетельства, отправил. Через пару дней позвонили с сообщением о том, что проверка успешно завершена, и с риторическим вопросом, подтверждаю ли я изготовление сертификата. На следующий день пришло письмо со ссылкой для скачивания-установки сертификата. От момента заказа до выпуска прошла неделя, но это с учетом того, что адвокат был уже найден, и часть заверенных документов ранее прошла проверку и была одобрена.

Для установки сертификата GlobalSign рекомендует использовать IE, при этом на всякий случай внести их домены в список доверенных, и временно понизить уровень безопасности. Перед скачиванием нужно установить "драйверы токена" — на самом деле это модифицированный SafeNet Authentication Client (SAC). У них в открытом доступе предлагаются версии 10.3 и 9.0.

Я по привычке ставил этот софт при подключенном токене (SafeNet eToken Pro 72k), и обе версии обламывались на установке служб по невозможности запуска службы SACSrv, при этом повторный запуск установщика любой версии возможен только после перезагрузки (явно что-то залипает в службах/устройствах). В логе Windows/System были сообщения, что драйвер токена отвергает какие-то IOCTL, отчего я заподозрил, что эта модель токена несовместима с софтом. На сайте SafeNet/Gemalto нет возможности свободно скачать SAC, а у DigiCert он отдается только из личного кабинета после успешного выпуска сертификата.

Дальше копать надоело — позвонил москвичам с просьбой побыстрее отправить оплаченный токен. Там сказали, что софт должен устанавливаться и при отключенном токене, и посоветовали попробовать. Мне такая простая мысль почему-то в голову не приходила — вынул токен, и обе версии стали успешно и устанавливаться, и удаляться без требования перезагрузки. При вставке токена обе версии его опознавали и нормально с ним работали. В итоге поставил 10.3, которая вдобавок раза в полтора меньше по объему.

Скачал/установил сертификат, попробовал подписать — все отлично работает. Чтобы не раздражал запрос пароля при каждом подписывании, можно включить Single Login, но возможности авторизации через ключ /p у SignTool, как я понимаю, там не предусмотрено — нужен именно "token login"

Только потом заметил, что я не установил на токен административного пароля, который позволит разблокировать токен после серии неудачных попыток login'а. А административный пароль можно установить только при инициализации токена, в ходе которой все содержимое уничтожается. Попробовал ссылку на скачивание/установку сертификата из первого письма — она уже нерабочая, но после него пришло еще одно письмо, в котором ссылка другого формата, и она вроде как работает. Как я понимаю, возможность скачивания/установки должна сохраняться в течение всего времени действия сертификата, но на странице информации о заказе на эту тему ничего нет.

Теперь надо понять, нужен ли мне дополнительно сертификат SHA1 для XP, или проще будет выпускать для нее отдельные неподписанные модули драйверов (в user mode проверка SHA2 таки работает)

Напоследок — про адвокатов. Если адвокат в ответ на предложение удостоверить какие-то документы начинает что-то говорить о "правовом поле", "правомочности процедуры" и т.п. — не спорьте с ним, ибо он либо глуп, либо просто пытается от вас отделаться. Удостоверение документа, хоть на русском, хоть на иностранном языке, является юридически значимым действием только для должностного лица (например, нотариуса, руководителя, делопроизводителя), или в рамках определенных правоотношений (например, договорных). В остальных случях сделать на документе удостоверяющую надпись, поставить подпись и печать (при наличии) может любой гражданин или организация — это всего лишь "личное свидетельство", причем не перед законом, а перед неопределенным кругом лиц. Даже в случае заведомо ложного свидетельства такого типа крайне проблематично привлечь заверителя к какой-либо ответственности, если он не является должностным лицом, уполномоченным заверять именно такого рода документы.

Так что заверение у адвоката преследует только одну цель — через открытый официальный источник (реестр адвокатов) проверить факт регистрации адвоката, связаться с ним по официальным реквизитам, и получить подтверждение, что он действительно удостоверил документы, присланные заявителем. Никаких проблем с законом (российским, американским или еще каким), руководством коллегии и т.п. у адвоката в результате этого возникнуть не может. Адвокат в данном случае не подписывает правовых документов, не совершает нотариальных действий, не взаимодействует с госорганами и т.п. По сути, здесь он выступает просто в роли "особого гражданина", доверять которому есть больше оснований, нежели рядовому гражданину, не имеющему подобных регалий.
сертификат ev code signing globalsign digicert ип sole proprietor
Re: Сертификат EV Code Signing на ИП - успешно
От: XOOIOOX  
Дата: 19.08.17 09:34
Оценка: +1 :)
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ> нервы помотали изрядно.


http://i95.fastpic.ru/big/2017/0819/c1/d628f43d1214486dc55fce66d31f70c1.jpg
Re: Сертификат EV Code Signing на ИП - успешно
От: NWP Россия  
Дата: 19.08.17 11:04
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

Самы волнующий меня момент не раскрыт. Что написано в субъекте сертификата?
Фио ип как в документах? На английском? Транслитерация?

Есть поле "О"? Что в нем?
Re: Сертификат EV Code Signing на ИП - успешно
От: Qt-Coder http://qtcoder.blogspot.com
Дата: 19.08.17 14:45
Оценка: +1
Фигасе квест.
Re: Сертификат EV Code Signing на ИП - успешно
От: maks__  
Дата: 19.08.17 18:23
Оценка:
ЕМ>Теперь надо понять, нужен ли мне дополнительно сертификат SHA1 для XP, или проще будет выпускать для нее отдельные неподписанные модули драйверов (в user mode проверка SHA2 таки работает)

Насколько я понял, XP SP3 или XP с патчем понимает SHA2. Поскольку сейчас все переводят сертификаты на SHA2, то юзерам XP с неустановленным патчем (а таких доли процента) придется установить патч или сервис пак.
Re: Сертификат EV Code Signing на ИП - успешно
От: шароварный желудь Интернет http://isvporn.wordpress.com/
Дата: 19.08.17 18:42
Оценка: +2
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ> И нервы помотали изрядно.


завидую вашему(ей) упоротости упорству

И каков выхлоп с этого EV? Что изменилось? Оно того стоило?
Re[2]: Сертификат EV Code Signing на ИП - успешно
От: uuuser  
Дата: 19.08.17 19:07
Оценка:
Здравствуйте, maks__, Вы писали:

__>Насколько я понял, XP SP3 или XP с патчем понимает SHA2. Поскольку сейчас все переводят сертификаты на SHA2, то юзерам XP с неустановленным патчем (а таких доли процента) придется установить патч или сервис пак.


юзерам XP пофиг на цифровую подпись в принципе.
Re[2]: Сертификат EV Code Signing на ИП - успешно
От: Евгений Музыченко Франция http://software.muzychenko.net/rus
Дата: 20.08.17 03:59
Оценка: 8 (2)
Здравствуйте, NWP, Вы писали:

NWP>Самы волнующий меня момент не раскрыт. Что написано в субъекте сертификата?


E = software@muzychenko.net
CN = Muzychenko Evgenii Viktorovich, IP
O = Muzychenko Evgenii Viktorovich, IP
L = Novosibirsk
S = Novosibirsk oblast
C = RU
1.3.6.1.4.1.311.60.2.1.2 = Novosibirsk oblast
1.3.6.1.4.1.311.60.2.1.3 = RU
SERIALNUMBER = 316547600105556
2.5.4.15 = Business Entity

NWP>Фио ип как в документах? На английском? Транслитерация?


Насколько я понимаю, в сертификатах все пишется на английском с транслитерацией. Все поля в форме я заполнял сам, они ничего не исправляли. Единственно — по умолчанию туда идет еще и адрес регистрации, у ИП он домашний, поэтому я попросил сократить до города.

В SERIALNUMBER указан ОГРНИП.
Re[2]: Сертификат EV Code Signing на ИП - успешно
От: Евгений Музыченко Франция http://software.muzychenko.net/rus
Дата: 20.08.17 04:01
Оценка:
Здравствуйте, maks__, Вы писали:

__>Насколько я понял, XP SP3 или XP с патчем понимает SHA2.


Только в user mode. В модуле ядра — не понимает, и не грузит. Либо убирать подпись совсем, либо подписывать сертификатом SHA1 (реальным или самодельным).
Re[2]: Сертификат EV Code Signing на ИП - успешно
От: Евгений Музыченко Франция http://software.muzychenko.net/rus
Дата: 20.08.17 04:04
Оценка: 2 (1)
Здравствуйте, шароварный желудь, Вы писали:

ШЖ>И каков выхлоп с этого EV? Что изменилось? Оно того стоило?


У меня ж продукты с драйверами ядра — мне просто деваться некуда. Сейчас практически все (если не строго все) новые компьютеры с предустановленной виндой идет с включенным по умолчанию Secure Boot, и драйвер, самостоятельно подписанный обычным сертификатом подписи кода, не грузится.

А на SmartScreen и прочую зелень мне наплевать — я даже не знаю толком, как оно выглядит у юзера.
Re[3]: Сертификат EV Code Signing на ИП - успешно
От: NWP Россия  
Дата: 20.08.17 08:29
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Здравствуйте, NWP, Вы писали:


NWP>>Самы волнующий меня момент не раскрыт. Что написано в субъекте сертификата?


Спасибо за инфу.
Re[3]: Сертификат EV Code Signing на ИП - успешно
От: maks__  
Дата: 20.08.17 09:19
Оценка:
__>>Насколько я понял, XP SP3 или XP с патчем понимает SHA2. Поскольку сейчас все переводят сертификаты на SHA2, то юзерам XP с неустановленным патчем (а таких доли процента) придется установить патч или сервис пак.

U>юзерам XP пофиг на цифровую подпись в принципе.


к сожалению, у них есть антивирусы и браузеры, которым не пофиг
Re: Сертификат EV Code Signing на ИП - успешно
От: Victor Ivanidze Россия  
Дата: 20.08.17 09:54
Оценка:
ЕМ>Вчера GlobalSign таки выпустил мне сертификат EV Code Signing на три года. Один день не дотянули до круглых двух месяцев с даты заказа (первый заказ был сделан 19-го июня). И нервы помотали изрядно.
<...>

И всё это для двух буковок?

Чтобы было
CN = Muzychenko Evgenii Viktorovich, IP
вместо
CN = Muzychenko Evgenii Viktorovich
?
Re[2]: Сертификат EV Code Signing на ИП - успешно
От: Евгений Музыченко Франция http://software.muzychenko.net/rus
Дата: 20.08.17 13:06
Оценка:
Здравствуйте, Victor Ivanidze, Вы писали:

VI>И всё это для двух буковок?


Я сегодня объяснил, для чего.
Re[2]: Сертификат EV Code Signing на ИП - успешно
От: maks__  
Дата: 20.08.17 16:20
Оценка:
VI>И всё это для двух буковок?

VI>Чтобы было

VI>CN = Muzychenko Evgenii Viktorovich, IP
VI>вместо
VI>CN = Muzychenko Evgenii Viktorovich
VI>?

ради EV
частникам не выдают EV
а скоро кроме EV ничего не будут выдавать, т.е. частникам вообще не будут выдавать сертификаты
Re[3]: Сертификат EV Code Signing на ИП - успешно
От: Евгений Музыченко Франция http://software.muzychenko.net/rus
Дата: 20.08.17 16:38
Оценка:
Здравствуйте, maks__, Вы писали:

__>частникам не выдают EV


GlobalSign еще в 2013-м перестал выдавать физлицам сертификаты Code Signing. SSL, наверное, дают.
Re[3]: Сертификат EV Code Signing на ИП - успешно
От: Victor Ivanidze Россия  
Дата: 22.08.17 10:05
Оценка:
VI>>И всё это для двух буковок?

ЕМ>Я сегодня объяснил, для чего.


Я про количество телодвижений. В прошлом году покупал у Comodо code signing certificate на ИП — потребовался только DUNS номер, который я сделал за 2 недели бесплатно. Возможно, что-то изменилось теперь.
Re[4]: Сертификат EV Code Signing на ИП - успешно
От: Евгений Музыченко Франция http://software.muzychenko.net/rus
Дата: 22.08.17 10:26
Оценка:
Здравствуйте, Victor Ivanidze, Вы писали:

VI>В прошлом году покупал у Comodо code signing certificate


Вы покупали Standard Code Signing Certificate. Его достаточно для подписи кода обычных приложений, но не модулей ядра (драйверов) под Windows.

VI>потребовался только DUNS номер, который я сделал за 2 недели бесплатно.


Мне в прошлом году для Standard Code Signing Certificate от DigiCert не потребовалось вообще ничего, кроме общения с их сотрудниками.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.