Здравствуйте, mauzer_tim, Вы писали:

_>Здравствуйте, uuuser, Вы писали:
U>>а есть ещё пруфы кроме этой истории с распространителем крэков под продукты мелкомягких?

_>А с чего вы его так заклеймили?
Ну как минимум он какие-то странные штуки делает, типа, устанавливает патчи для Windows "руками" Если бы я был антивирус, я бы напрягся

Здравствуйте, bnk, Вы писали:
_>>А с чего вы его так заклеймили?
bnk>Ну как минимум он какие-то странные штуки делает, типа, устанавливает патчи для Windows "руками" Если бы я был антивирус, я бы напрягся
Ну да вообще странные, правда тут у половины местных софт что-то странное в системе делает — блокирует порты, устройства, перехватывает нажатия клавиш, заменяет важные компоненты системы. В бан их всех тоже не мешало бы отправить

Как я понял, вся вина этого симплекса была лишь в том, что его софтина на virustotal выдала аж целый 1 детект из 70. А у комодо как раз случился скандал — выяснилось, что его сертификатами любят подписывать малварь ну и они решили показать себя с лучшей стороны и банить все подряд серты, которые нашли на вирустотале c детектами. Под замес попал и этот симплекс и другие не малварные товарищи.

Здравствуйте, mauzer_tim, Вы писали:

_>Как я понял, вся вина этого симплекса была лишь в том, что его софтина на virustotal выдала аж целый 1 детект из 70.

В эту историю не один Симплекс попал. В посте на «Хабре» это обсуждали. Один ложный детект — и серт отзывают, причем под раздачу попали и серьезные ребята, которые CAD/CAM пилят.

Здравствуйте, mauzer_tim, Вы писали:

_>Раньше у меня был серт от digicert купленный по sysdev скидке за $250 на три года, но увы она протухла и сейчас они продают трехлетний серт за $1400. Платить за то же самое в 6 раз больше совсем не хочется, поэтому ищу более адекватный по цене вариант. Похоже, что самое хорошее предложение сейчас у certum.pl, они продают Authenticode сертификаты по 360 евро на три года. Кто-нибудь покупал у них? Есть какие-то подводные камни с их сертификатами или с процедурой верификации?

Моя история имела продолжение (я уже купил новый у Comodo/Sectigo)

Сегодня звонит (по телефону!) менеджер из DigiCert и спрашивает почему я не продляю у них сертификат за 500 евро

Здравствуйте, mauzer_tim, Вы писали:

_>Здравствуйте, CyberDemon, Вы писали:

CD>>Да полнО. И дешевле. Например, https://www.emaro-ssl.ru/certificates/code-signing/
CD>>У самого вопрос такой же возник, вот гуглю (ну и от коллег раньше слышал)
_>Ну это какой-то непонятный посредник. А сабжевая контора указана на сайте микрософта. И еще, интересно, что этот посредник (а также другие, напр. leaderssl.ru), предлагают купить сертификат thawte, который сам уже давно не продает сертификаты. Кто-нибудь вообще покупал через этих посредников? А то я пока только нагуглил на рсдне жалобу Фалько на то, что emaro 2 месяца не выдают ему серт.

Таки купил через emaro. Если не считать моих тормозов, то за 3 дня все делается. 2000р надо накинуть за юридические услуги (тот самый нотариус, который заверить доки на буржуйском языке должен). Я так понимаю, с этого момента моя личность подтверждена для Sectigo и можно пользоваться любым реселлером от Sectigo "без шума, без пыли".

Здравствуйте, bnk, Вы писали:

bnk>Сегодня звонит (по телефону!) менеджер из DigiCert и спрашивает почему я не продляю у них сертификат за 500 евро

Ну и? Где самое интересное?

Здравствуйте, wantus, Вы писали:

W>Здравствуйте, bnk, Вы писали:

bnk>>Сегодня звонит (по телефону!) менеджер из DigiCert и спрашивает почему я не продляю у них сертификат за 500 евро

W>Ну и? Где самое интересное?

Ну я ему говорю — блиин, чувак, я и правда забыл купить! Давай я сразу дюжину возьму, чего мелочиться...

Здравствуйте, wantus, Вы писали:

bnk>>Сегодня звонит (по телефону!) менеджер из DigiCert и спрашивает почему я не продляю у них сертификат за 500 евро

W>Ну и? Где самое интересное?

Продлил недавно у Digicert на три года сертификат по старой цене — $248. Но капец как всё это медленно продвигалось (правда у меня еще нестандартный случай, нет юр.лица, а нужно не на ФИО), в итоге еще и скайп интервью с показыванием документа (зато без нотариуса). Дали сертификат сначала только SHA256. Натыкал в кабинете reissue SHA1 — ждал несколько дней, два раза пинал в их супер-медленном чате, прислали и SHA1. Я по наивности думал, что это автоматом сделается. В общем, решается с ними всё, как минимум по цене договариваются, но вот только не они за вами бегают, а вы за ними

Здравствуйте, bolide, Вы писали:


B>Продлил недавно у Digicert на три года сертификат по старой цене — $248. Но капец как всё это медленно продвигалось (правда у меня еще нестандартный случай, нет юр.лица, а нужно не на ФИО), в итоге еще и скайп интервью с показыванием документа (зато без нотариуса). Дали сертификат сначала только SHA256. Натыкал в кабинете reissue SHA1 — ждал несколько дней, два раза пинал в их супер-медленном чате, прислали и SHA1. Я по наивности думал, что это автоматом сделается. В общем, решается с ними всё, как минимум по цене договариваются, но вот только не они за вами бегают, а вы за ними

И молчишь!

Здравствуйте, bolide, Вы писали:

B>Натыкал в кабинете reissue SHA1 — ждал несколько дней, два раза пинал в их супер-медленном чате, прислали и SHA1.

Это разве не запрещено (SHA1)? StartSSL за это (в том числе) вон как разбомбили

Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, bolide, Вы писали:
B>>Натыкал в кабинете reissue SHA1 — ждал несколько дней, два раза пинал в их супер-медленном чате, прислали и SHA1.
bnk>Это разве не запрещено (SHA1)? StartSSL за это (в том числе) вон как разбомбили

С чего бы?

Речь вроде про сертификаты для подписи кода, для совместимости с старыми системами обычно делаются две подписи SHA1 и SHA256.

Старые системы доверяют SHA1, новые доверяют SHA256.

Здравствуйте, Черный Властелин, Вы писали:

bnk>>Это разве не запрещено (SHA1)? StartSSL за это (в том числе) вон как разбомбили

ЧВ>С чего бы?
ЧВ>Речь вроде про сертификаты для подписи кода, для совместимости с старыми системами обычно делаются две подписи SHA1 и SHA256.

ЧВ>Старые системы доверяют SHA1, новые доверяют SHA256.

Возможно ошибаюсь, и SHA1 запрещено только для браузеров?
Если на историю с StartSSL посмотреть точнее, их разбомбили за выдачу SHA1 "задним числом" (backdated)
Тогда ключевое слово "задним числом" получается, а не SHA1.

Например Comodo:
https://www.comodo.com/e-commerce/SHA-2-transition-next-steps.php

Comodo will no longer issue any SHA-1 based code signing or SSL certificates.

Здравствуйте, bolide, Вы писали:

> В общем, решается с ними всё, как минимум по цене договариваются, но вот только не они за вами бегают, а вы за ними

А как договаривался, кому писал? А то меня они просто послали

Автор: mauzer_tim
Дата: 17.02.20

.

Здравствуйте, mauzer_tim, Вы писали:

>> В общем, решается с ними всё, как минимум по цене договариваются, но вот только не они за вами бегают, а вы за ними
_>А как договаривался, кому писал? А то меня они просто послали

Автор: mauzer_tim
Дата: 17.02.20

.

Я тебе скинул в личку контакты, может поможет

Здравствуйте, bolide, Вы писали:
B>Я тебе скинул в личку контакты, может поможет
Что-то ничего не пришло.

ЗЫ. Сам я уже купил сертификат от Thawte через LeaderSSL. Он немного дороже, чем Sectigo, но зато не надо всяких там нотариальных проверок, просто звонят на телефон фирмы указанный в справочнике и задают пару вопросов. Ну и как я понимаю, thawte — это тот же digicert.

Здравствуйте, bolide, Вы писали:
B>Я тебе скинул в личку контакты, может поможет

Можно мне тоже? Скоро продлять DigiCert EV-codesign, а 600 баксов в год это немного дофига.