Привет
Уверен, тут спрашивали неоднократно, но в основном для подписи своих проектов.
У меня же заказчики попросили подписать setup.msi и .dll'ку, которую он устанавливает сертификатом компании, для которой я делал проект.
В связи с этим, несколько вопросов:
1) есть ли разница между EV и обычным сертификатом, если цель — убрать "Unidentified developer warning"? Или они идентичны?
2) Насколько я понимаю, CA-организации выдают криптофлешки-ключи, и эти ключи требуются во время подписи? Можно ли как-то подписать, не имея такой флешки, от имени компании-заказчика?
3) У кого сейчас лучше всего купить сертификат для подписи?
Здравствуйте, Михaил, Вы писали:
М>1) есть ли разница между EV и обычным сертификатом, если цель — убрать "Unidentified developer warning"? Или они идентичны?
EV сертфикат сходу дает программе higher reputation при SmartScreen проверке. Сообщение слегка менее страшное и это типа плюс при изначальных загрузках с интернетов.
EV требуется для подписи драйверов.
В остальном разницы особой нет.
М>2) Насколько я понимаю, CA-организации выдают криптофлешки-ключи, и эти ключи требуются во время подписи? Можно ли как-то подписать, не имея такой флешки, от имени компании-заказчика?
Железные ключи требуются только для EV. Ключ приходит пустой (его вообще можно купить отдельно) и он умеет генерить keypair. Public part идет в CA, на подпись, а private всегда сидит на ключе и вытащить её оттуда нельзя. В этом собственно и весь смысл железных ключей.
Обычные non-EV сертификаты можно получить на key pair, которая хранится в обычном файле, с опциональным пасвордом.
По идее, заказчик может поделится с вами копией из сертификата с ключами, но формально это запрещено и может привести к отзыву сертификата.
Кошерный вариант — это отдавать им бинарники после билда, чтобы они их подписывали. Ну или получать серт на себя.
Здравствуйте, wantus, Вы писали:
М>>1) есть ли разница между EV и обычным сертификатом, если цель — убрать "Unidentified developer warning"? Или они идентичны?
W>EV сертфикат сходу дает программе higher reputation при SmartScreen проверке. Сообщение слегка менее страшное и это типа плюс при изначальных загрузках с интернетов.
Кстати кто-то знает конкретные цифры здесь? Сколько нужно установок, чтобы заткнуть Smart Screen, в первом и во втором случае соответственно?
Я так понимаю, что для обычного это цифра порядка тысячи, или?
Здравствуйте, bnk, Вы писали:
bnk>Кстати кто-то знает конкретные цифры здесь? Сколько нужно установок, чтобы заткнуть Smart Screen, в первом и во втором случае соответственно? bnk>Я так понимаю, что для обычного это цифра порядка тысячи, или?
Где-то (возможно, что и тут) писали, что у них всякие нейронки, самообучение и т. п., поэтому раз на раз не приходится.
Здравствуйте, wantus, Вы писали:
W>Железные ключи требуются только для EV. Ключ приходит пустой (его вообще можно купить отдельно) и он умеет генерить keypair. Public part идет в CA, на подпись, а private всегда сидит на ключе и вытащить её оттуда нельзя. В этом собственно и весь смысл железных ключей.
Кстати, а можно ли этот железный ключ использовать как ключ Certificate Authority? Т.е. порождаем с его помощью подчинённый сертификат, и далее весь CI/CD уже делаем на основе такого вторичного сертификата? ведь при необходимости, его можно отозвать/перегенерить/etc по вкусу
Или это будет автоматически означать гораздо меньший trust-уровень, что обнулит весь смысл возни с EV-сертификацией?