According to the SSL industry regulator CA/B Forum, starting November 15, 2022, private keys for OV Code Signing certificates must be stored on devices that meet FIPS 140 Level 2, Common Criteria EAL 4+ or equivalent security standards.
As a result, the protection of the private key will be strengthened and brought to the level of EV (Extended Validation). All the technical parts of issuing a Code Signing certificate will be carried out on the side of the Certification Authority (CA).
Changes to the OV Code Signing issuance will affect all certificates issued, reissued or renewed from November 15, 2022.
Насколько я понял это значит что все сертификаты для подписи кода с 15 ноября будут только на физическом токене.
Пошел обновлять свой на 3 года (истекает в январе следующего) чтобы избежать этого гемора.
Re: OV сертификаты будут тоже на токене с 15 ноября
bnk>Насколько я понял это значит что все сертификаты для подписи кода с 15 ноября будут только на физическом токене. bnk>Пошел обновлять свой на 3 года (истекает в январе следующего) чтобы избежать этого гемора.
А можно узнать для чего эти сертификаты нужны? Я тут планирую запилить десктопную утилиту в первый раз.
Без этой подписи на программу антивирус будет ругаться при запуске или что?
И подписать можно будет только хардверным ключом, который будут присылать по бумажной почте месяц или никогда?
Если вы параноик — это еще не значит, что за вами никто не следит
Re[2]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, c3p0, Вы писали:
C>А можно узнать для чего эти сертификаты нужны? Я тут планирую запилить десктопную утилиту в первый раз. C>Без этой подписи на программу антивирус будет ругаться при запуске или что? C>И подписать можно будет только хардверным ключом, который будут присылать по бумажной почте месяц или никогда?
Если пользователь скачивает неподписанную не особо популярную прогу, винда покажет ему синее окошко "а давай не будем ее запускать".
Пройти дальше и установить ее все равно рискнут не только лишь все.
Суть изменения да, что подписывать можно будет только хардварным ключом (сейчас так для EV-сертификатов)
Re[3]: OV сертификаты будут тоже на токене с 15 ноября
bnk>Если пользователь скачивает неподписанную не особо популярную прогу, винда покажет ему синее окошко "а давай не будем ее запускать". bnk>Суть изменения да, что подписывать можно будет только хардварным ключом (сейчас так для EV-сертификатов)
треш какой-то
а как же девопс?
Допустим, сборка проходит на сервере в облаке и там же должна осуществляться подпись сборки перед выпуском в релизы для скачивания.
На тех же инстансах амазон облака. Как подписывать хардверным ключом, даже если он есть?
Если вы параноик — это еще не значит, что за вами никто не следит
Re[4]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, c3p0, Вы писали:
C>а как же девопс?
C>Допустим, сборка проходит на сервере в облаке и там же должна осуществляться подпись сборки перед выпуском в релизы для скачивания. C>На тех же инстансах амазон облака. Как подписывать хардверным ключом, даже если он есть?
Вот именно. У меня та же фигня. Можно спросить у кого сейчас EV как выкручиваются?
Re[4]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, wantus, Вы писали:
C>>На тех же инстансах амазон облака. Как подписывать хардверным ключом, даже если он есть?
W>usb-over-ip
Это же надо кастомный билд-сервер тогда на который эту фигню (usb-over-ip) ставить,
плюс во время сборки флешка должна быть воткнута (в еще какой-то другой комп)?
Разве это не капец
Re[6]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, sergey2b, Вы писали:
S>у меня сертификат на частное лицо на 3 года, осталось еще два года S>те мне надо сейчас купить хардварный ключ ? и потом сделать обновление ?
Я бы не стал ничего делать если еще два года.
У меня просто несколько месяцев осталось, если взять сейчас получается гемор можно отсрочить на 3 года.
Сборка проекта у меня в облаке, а сертификат на физическом токене для этого случая крайне неудобен.
Re[5]: OV сертификаты будут тоже на токене с 15 ноября
bnk>Я бы не стал ничего делать если еще два года. bnk>У меня просто несколько месяцев осталось, если взять сейчас получается гемор можно отсрочить на 3 года. bnk>Сборка проекта у меня в облаке, а сертификат на физическом токене для этого случая крайне неудобен.
Выглядит, что сейчас хорошее время взять сертификат на 3 года.
Тоже хочу взять.
Порекомендуете провайдера? Как проходит валидация, какие документы реально запрашивают.
Интересует сертификат на юр. лицо.
Пока из того что я прочел, все сводится к "публичным каталогам". Пишут, что там сверяют адрес, номер телефона для валидации.
Если вы параноик — это еще не значит, что за вами никто не следит
Re[6]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, c3p0, Вы писали:
C>Порекомендуете провайдера? Как проходит валидация, какие документы реально запрашивают. C>Интересует сертификат на юр. лицо. C>Пока из того что я прочел, все сводится к "публичным каталогам". Пишут, что там сверяют адрес, номер телефона для валидации.
Я взял sectigo (бывший comodo). Как прошлый раз, брал через реселлера https://www.leaderssl.at/en/suppliers/comodo/products/code_signing (196 евро на три года, почти в три раза дешевле чем напрямую)
Заняло четыре рабочих дня примерно. Выпустили на ЧП (т.е. на "Имя Фамилия")
В качестве документов отправлял скан водительских прав, регистрацию как ЧП, регистрацию по месту жительства, счет за телефон.
Валидация через звонок.
Здравствуйте, Sharowarsheg, Вы писали:
bnk>>Разве это не капец
S>Как встретишь кого-то, кто топил за секурность, обязательный https, обеспечение безопасности пользователей и вот это всё — скажи спасибо ему.
Секурность это когда ты берешь AWS CloudHSM, подписываешь своим сертификатом его сертификат и в твоём облаке билды подписаны уже этим сертификатом.
Если такая схема не работает, то это проблемы не тех, кто топил за секурность, а тех, кто не дотопил.
Re[8]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, vsb, Вы писали:
vsb>Если такая схема не работает, то это проблемы не тех, кто топил за секурность, а тех, кто не дотопил.
Очень хорошо, что не дотопили, потому что иначе уже из РФ нельзя было бы ни разрабатывать, ни шароварить.
Нету никакого клауда, есть чужой компьютер. Тот, кто вынес свою безопасность на чужой компьютер, подарил её владельцу этого компьютера. Довольно очевидная же вешь?
Здравствуйте, Sharowarsheg, Вы писали:
vsb>>Если такая схема не работает, то это проблемы не тех, кто топил за секурность, а тех, кто не дотопил.
S>Очень хорошо, что не дотопили, потому что иначе уже из РФ нельзя было бы ни разрабатывать, ни шароварить.
Ну это проблема РФ, а не проблема тех, кто топит за безопасность. Очевидно, что предотвращение запуска программ из недоверенных источников это одна из целей безопасности.
S>Нету никакого клауда, есть чужой компьютер. Тот, кто вынес свою безопасность на чужой компьютер, подарил её владельцу этого компьютера. Довольно очевидная же вешь?
Нет, не очевидная. Очевидно, что в хорошем банке деньги хранить безопасней, чем в своём доме, потому, что банк профессионал в этом деле. То же касается и облаков.
Но к чему этот параграф — я не понял. Обсуждается ведь то, что люди, которые пользуются облаками для процесса непрерывной интеграции и доставки, имеют неудобства при подписании. Если тебе не по нутру облака и ты предпочитаешь разрабатывать и собирать всё локально, у тебя тем паче никаких проблем не может быть в этом отношении.
Re[10]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, vsb, Вы писали:
vsb>Но к чему этот параграф — я не понял. Обсуждается ведь то, что люди, которые пользуются облаками для процесса непрерывной интеграции и доставки, имеют неудобства при подписании. Если тебе не по нутру облака и ты предпочитаешь разрабатывать и собирать всё локально, у тебя тем паче никаких проблем не может быть в этом отношении.
Всё это происходит от того, что уже добезопасились до практически обязательных сертификатов. По крайней мере, до привычки к сертификатам. И проблема не в том, что любители облаков будут страдать, а в том, что мою возможность продавать что-то кому-то может контролировать третья сторона.
Re[11]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, Sharowarsheg, Вы писали:
S>Здравствуйте, vsb, Вы писали:
vsb>>Но к чему этот параграф — я не понял. Обсуждается ведь то, что люди, которые пользуются облаками для процесса непрерывной интеграции и доставки, имеют неудобства при подписании. Если тебе не по нутру облака и ты предпочитаешь разрабатывать и собирать всё локально, у тебя тем паче никаких проблем не может быть в этом отношении.
S>Всё это происходит от того, что уже добезопасились до практически обязательных сертификатов. По крайней мере, до привычки к сертификатам. И проблема не в том, что любители облаков будут страдать, а в том, что мою возможность продавать что-то кому-то может контролировать третья сторона.
Это же всё одни и те же люди — любители безнала, любители облаков, и любители сертификатов.
Re[11]: OV сертификаты будут тоже на токене с 15 ноября
Здравствуйте, Sharowarsheg, Вы писали:
S>Всё это происходит от того, что уже добезопасились до практически обязательных сертификатов.
Ну под iOS они просто обязательные для консьюмерского софта.
S>И проблема не в том, что любители облаков будут страдать, а в том, что мою возможность продавать что-то кому-то может контролировать третья сторона.
Я думаю, что эту проблему общество осознаёт. К примеру с большой вероятностью на iOS таки разрешат стороннюю загрузку в ближайшие годы.
А вообще ты просто боишься попасть под санкции. Многие производители товаров в России попали под санкции. Как и в обратную сторону. Ничего нового тут нет. Твою возможность продавать что-то кому-то всегда контролировала третья сторона. Политические запреты техническими способами массово обходятся не очень хорошо.
Здравствуйте, vsb, Вы писали:
S>>Всё это происходит от того, что уже добезопасились до практически обязательных сертификатов.
vsb>Ну под iOS они просто обязательные для консьюмерского софта.
Так я именно поэтому под неё и не пишу.
vsb>Я думаю, что эту проблему общество осознаёт. К примеру с большой вероятностью на iOS таки разрешат стороннюю загрузку в ближайшие годы.
vsb>А вообще ты просто боишься попасть под санкции.
Конечно. И тебе рекомендую.
vsb>Многие производители товаров в России попали под санкции.
Да хрен с ними, с санкциями против России. Неприятно, но не конец света. Из-под санкций, которые наложили на целую страну, не слишком трудно выскочить. А вот рост цена на эти сертификаты нас ещё ждёт. После того, как что-то становится обязательным, оно через какое-то время дорожает.
Re[7]: OV сертификаты будут тоже на токене с 15 ноября
bnk>В качестве документов отправлял скан водительских прав, регистрацию как ЧП, регистрацию по месту жительства, счет за телефон. bnk>Валидация через звонок.
Делал месяц назад в Сектиго, требуют всю доку на английском, на ИД должен быть адрес.
