Получил сегодня сертифиткат. Почти 3 месяца занял процесс. Прислали токен службой UPS eToken 5110 CC (940) хотя я его не покупал у них, думал на свой установить.
Сертификат на физлицо. Чтобы подписать нужно установить SafeNet client, воткнуть токен и запустить signtool.exe с правами администратора. От обычного юзера не находится сертификат.
Re[2]: Проблема получения kSoftware code signing certificate
Здравствуйте, eustin, Вы писали:
E>Да ситуация с сертами настораживает. Мы для подстраховки сделали инсталятор универсальный, которые качает другой инсталятор (пусть даже не подписанный) и его ставит. E>В связи с этим вопрос: а не встречал ли кто исходников или готоых скриптов "красивого" инсталятора, чтобы он показывал современное окошко с прогресс баром или картинками меняющимися на заднем плане? Например, как у софта Movavi. Хочется сделать красивый универсальный инсталятор для всего софта на всякий пожарный и подписать его на годы вперед. А велосипед изобретать не хочется с учетом разных граблей, вроде детектов антивирусами.
В подписанных .exe есть секции, которые подпись не покрывает. Туда можно прописывать произвольные данные после того, как бинарник был подписан и подпись останется корректной. Поэтому достаточно сделать подписанную фигулину, которая вынимает из своего собственного exe из такой секции вторичный exe и его запускает.
Здравствуйте, PeterOne, Вы писали:
PO>Коллеги, нашел важную функцию в браузере EDGE. Когда скачиваешь свой EXE с новым сертификатом на который ругается SmartScreen(не доверяет), то можно отправить ДВЕ заявки в Microsoft — одна от лица простого пользователя — типа продукт безопасный. Вторая от лица разработчика — автора скачиваемой программы. Там нужно заполнить анкету.
Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, PeterOne, Вы писали: PO>>В РФ получение сертификата с USB бирюлькой стоит 27 тыс руб на 1 год.
bnk>Где ты его нашел так дешево??? $270 это по сегодняшним временам почти даром. Реселлеры типа leaderssl сдулись. bnk>Точно это цены ЭТОГО года (когда USB бирюлька стала обязательной), а не предыдущего? bnk>У меня еще есть 2 года (до конца 2025), все равно думаю, где в следующий раз брать.
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Да, вижу, но без этого никак что-ли? Раньше этго не требовалось.
Похоже нововведение с мая/июня и цены значительно выросли. Последний серт брал за $241 на 4 года, а сейчас
Re[5]: Проблема получения kSoftware code signing certificate
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Я даже не могу найти как купить\получить этот FIPS 140‐2 Level 2 or Common Criteria EAL 4+ compliant device. Хрень какая-то полная.
Похоже самый распространенный и дешевый — это SafeNet eToken 5110CC (940), 42$ на ebay в Греции, около 4500руб в РФ cryptopro
Re[9]: Проблема получения kSoftware code signing certificate
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Теперь все броузеры и винда ругается на мой инсталятор как на подозрительный.
У меня такая же ситуация. Но раньше было тоже самое с предыдущими простыми codesign сертификатами.
Обычно я переподписывал второстепенный продукт и выкладывал на сайт. Обычно через неделю SmartScreen переставал ругаться и я уже подписывал основной продукт.
На этот раз, уже прошло 10 дней, винда продолжает ругаться.
Здравствуйте, PeterOne, Вы писали:
PO>Здравствуйте, Nonmanual Worker, Вы писали:
NW>>Теперь все броузеры и винда ругается на мой инсталятор как на подозрительный.
PO>У меня такая же ситуация. Но раньше было тоже самое с предыдущими простыми codesign сертификатами.
PO>Обычно я переподписывал второстепенный продукт и выкладывал на сайт. Обычно через неделю SmartScreen переставал ругаться и я уже подписывал основной продукт.
PO>На этот раз, уже прошло 10 дней, винда продолжает ругаться.
У меня месяца 3 ругалась, потом перестала.
Что интересно, наш софт лазит в интернет на наш сайт с запросами — подкачивает нужные данные, и если программу не подписывать, то Касперский через полчаса на свежескомпилированную программу начинает ругаться и считать её подозрительной по её поведению. Но на подписанную никогда не ругается.
Re[10]: Проблема получения kSoftware code signing certificate
Высылают курьером брелок (включен в цену) для генерации подписи — это нововведение (с 1 июня) описывалась выше в теме. Все прошло очень быстро — где-то неделя. Ранее у него был опыт получения codesign, отправил все подтверждающие документы. Их проверяли за рубежом (GlobalSign).
Вот такая хрень. Радует с одной стороны, что получить можно и быстро. Но очень дорого
Re: Проблема получения kSoftware code signing certificate
Да ситуация с сертами настораживает. Мы для подстраховки сделали инсталятор универсальный, которые качает другой инсталятор (пусть даже не подписанный) и его ставит.
В связи с этим вопрос: а не встречал ли кто исходников или готоых скриптов "красивого" инсталятора, чтобы он показывал современное окошко с прогресс баром или картинками меняющимися на заднем плане? Например, как у софта Movavi. Хочется сделать красивый универсальный инсталятор для всего софта на всякий пожарный и подписать его на годы вперед. А велосипед изобретать не хочется с учетом разных граблей, вроде детектов антивирусами.
Re: Проблема получения kSoftware code signing certificate
Треш с Sectigo продолжается второй месяц.
Поменял я валидацию на Individual Person. Т.к. у меня нет единого документа с фото и адресом то мне пришлось сделать face-to-face валидацию по 3м документам с заверением у нотариуса.
Отослал документы в Sectigo. Пишут 'Unable to verify the address.'. Спрашиваю в чем причина? Молчат. Адрес что указал при регистрации отличается порядком следования номера улицы от того что указан в face-to-face счете.
Пишу — в этом дело? Исправьте адрес в акакунте, сам это сделать не можешь. Пищут 'Unable to verify the address.' Опять спрашиваю в чем дело. Так несколько раз.
Пишу в чат, все рассказываю, пишут выясняем причину. Говорю — может дело в адресе? Пишут да. Пришлите другие документы. Говорю смените адрес в аккаунте на тот что заверен и проверен и все будет ок. Непонимают, пишу по разному 5 раз, объясняю как дуракам. Вроде поняли. ХЗ что дальше будет...
Re[4]: Проблема получения kSoftware code signing certificate
Здравствуйте, PeterOne, Вы писали:
PO>У меня истекает сертификат. На руках веб-инсталлер только, как аварийное решение.
Веб-инсталер будет лучшим вариантом. Вторичный пакет при этом можно подписывать просроченным сертом, но без метки времени.
PO>Никто не слышал о способах взлома и использования истекшего сертификата чтобы подписать свой код?
Поищи DSignTool или HackSigntool, но вряд ли он тебе существенно поможет. Там используется подмена сервера времени для эмуляции подписи на дату, когда сертификат был еще действительный. Но вряд ли ты найдешь валидный сертификат сервера времени. А те что в интернетах валяются уже отозваны.
Можно, конечно, сгенерить свой серт для сервера времени и через веб-инсталер запросить добавление в доверенные. Но, боюсь, ты быстро попадешь в базы АВ.
Здравствуйте, wantus, Вы писали:
W>Здравствуйте, Nonmanual Worker, Вы писали:
NW>>Использую Edge в режиме IE, заполняю все поля, жду Submit и открывется пустой url
W>_ttps://secure.ksoftware.net/code_sign_complete.php?errorCode=-91&errorDetail=This+product+can+be+ordered+on+a+smartcard/HSM+only.
W>Они требуют, чтобы CSR был сгенерён на hardware token.
Да, вижу, но без этого никак что-ли? Раньше этго не требовалось.
Re[4]: Проблема получения kSoftware code signing certificate
Здравствуйте, Alexander Avdonin, Вы писали:
NW>>Да, вижу, но без этого никак что-ли? Раньше этго не требовалось. AA>Похоже нововведение с мая/июня и цены значительно выросли. Последний серт брал за $241 на 4 года, а сейчас
Я даже не могу найти как купить\получить этот FIPS 140‐2 Level 2 or Common Criteria EAL 4+ compliant device. Хрень какая-то полная.
Re[3]: Проблема получения kSoftware code signing certificate
Интересная идея) Но выглядит как хак. А даунлоадеры вон и Хром и Вижуал Студия использует И вроде как подписывать надо только даунлоадер... а что он качает и запускает винду уже не волнует )
Re[3]: Проблема получения kSoftware code signing certificate
Здравствуйте,
W>В подписанных .exe есть секции, которые подпись не покрывает. Туда можно прописывать произвольные данные после того, как бинарник был подписан и подпись останется корректной. Поэтому достаточно сделать подписанную фигулину, которая вынимает из своего собственного exe из такой секции вторичный exe и его запускает.
Я себе сделал на базе InnoSetup. Достаточно красиво получилось, но много антивирусов пометило такой файл как подозрительный. Пока сделал для фриварок, которые не жалко. Набдюдаю.
Re[2]: Проблема получения kSoftware code signing certificate
E>В связи с этим вопрос: а не встречал ли кто исходников или готоых скриптов "красивого" инсталятора, чтобы он показывал современное окошко с прогресс баром или картинками меняющимися на заднем плане?
это штатная возможность Innosetup
Re[3]: Проблема получения kSoftware code signing certificate
I>это штатная возможность Innosetup
Спасибо, покурю его. Но что то мне казалось, что так красиво не сделаешь, как у Мувави или Касперского — с веб-стайл интерфейсом, кастомными кнопочками, фоновыми картинками (в идеале подгружаемыми), крутящимися колесиками итп. Я делал кастомные формы на Innosetup, выглядят они примитивно.
Re[4]: Проблема получения kSoftware code signing certificate
Здравствуйте, eustin, Вы писали:
I>>это штатная возможность Innosetup E>Спасибо, покурю его. Но что то мне казалось, что так красиво не сделаешь, как у Мувави или Касперского — с веб-стайл интерфейсом, кастомными кнопочками, фоновыми картинками (в идеале подгружаемыми), крутящимися колесиками итп. Я делал кастомные формы на Innosetup, выглядят они примитивно.
смотря на что равняться, у Microsoft так же выглядит
Re[5]: Проблема получения kSoftware code signing certificate
I>смотря на что равняться, у Microsoft так же выглядит
ну, у MS тоже по мне не плохо. Но у них наверно свое что-то или NSYS.
Просто не хочется писать свой инсталятор даже не из-за трудозатрат а из-за проблем с антивирусами.
Думал вдруг кто-то подскажет что-то массовое... или пример для innosetup кинет
Re[6]: Проблема получения kSoftware code signing certificate
Что то не открываются ссылки.. и кэш гугла пустой по ним.
Но судя по адресу, там как делать кастомные страниц и как качать файлы, это я умею, есть свой инсталятор-загрузчки билдов, но хочется его красивым сделать Не ясно как это сделать на паскалевских формах, которые видимо в примерах этих будут.
Re[8]: Проблема получения kSoftware code signing certificate
Поделитесь, как вы делаете web installer в InnoSetup?
Я сделал веб-инсталлер, который подгружает другой неподписанный installer и тот уже устанавливает.
Думал сделать подгрузку ZIP пакета и сразу все устанавливать в главном веб-инсталляторе. Но столкнулся с проблемой — в InnoSetup нет возможности распаковывать ZIP. Можно таскать условный unzip.exe, но как-то некрасиво установка будет выглядеть — консольное окно без нормального прогресса распаковки.
Re[9]: Проблема получения kSoftware code signing certificate
PO>Поделитесь, как вы делаете web installer в InnoSetup?
Имя инсталятора передается срипту на сервере, то по имени выбирает, какой билд отдать и с какого CDN или без него, инсталятор его качает и ставит в тихом режиме.. или не в тихом, если это требуется, например если емейл надо собрать. Тот что качается, может быть неподписан.
PO>Я сделал веб-инсталлер, который подгружает другой неподписанный installer и тот уже устанавливает.
PO>Думал сделать подгрузку ZIP пакета и сразу все устанавливать в главном веб-инсталляторе. Но столкнулся с проблемой — в InnoSetup нет возможности распаковывать ZIP. Можно таскать условный unzip.exe, но как-то некрасиво установка будет выглядеть — консольное окно без нормального прогресса распаковки.
Не, зип не хочется, имхо триггер для антивирусов.
Re[10]: Проблема получения kSoftware code signing certificate
Удивительно, но сертификат от Apple для подписи кода под macOS/iPhone сейчас намного проще получить из России, чем codesign для Windows. И дешевле. Я уже второй раз после начала войны продлил подписку Apple Developer, второй раз оплачивал в рублях с мобильного счета МТС.
Re: Проблема получения kSoftware code signing certificate
Здравствуйте, Nonmanual Worker, Вы писали:
NW>А гражданам РФ сейчас вообще можно получить сертификат подписи кода у зарубежной компании?
Я в globalsign заказывал HSM сертификат — 18 т.р., проверки простые, ничего заверять ни у кого не надо, но только для ИП и выше.
Но для получения требуется CRS, а как его сгенерировать вопрос...
Re[9]: Проблема получения kSoftware code signing certificate
Здравствуйте, PeterOne, Вы писали:
PO>Поделитесь, как вы делаете web installer в InnoSetup?
PO>Я сделал веб-инсталлер, который подгружает другой неподписанный installer и тот уже устанавливает.
PO>Думал сделать подгрузку ZIP пакета и сразу все устанавливать в главном веб-инсталляторе. Но столкнулся с проблемой — в InnoSetup нет возможности распаковывать ZIP. Можно таскать условный unzip.exe, но как-то некрасиво установка будет выглядеть — консольное окно без нормального прогресса распаковки.
Я скачиваю zip, в основном лежит 7z, он без консолей. При распаковке стартует бесконечный прогресс (0, 0).
Re: Проблема получения kSoftware code signing certificate
Попытался переделать инсталятор, сделать типа web. Небольшой постоянный инсталятор скачивает zip с сайта.
Виндовый автивирус сразу стал ругаться на зловред. Плюнул. Верифицирую сертификат на частное лицо.
Re[2]: Проблема получения kSoftware code signing certificate
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Попытался переделать инсталятор, сделать типа web. Небольшой постоянный инсталятор скачивает zip с сайта. NW>Виндовый автивирус сразу стал ругаться на зловред. Плюнул. Верифицирую сертификат на частное лицо.
А токен купили или заказывете вместе с подписью? Мне говорят, для Sectigo нужен YubiKey, который можно свободно на авито купить. Но прокатит ли это с новой подписью не знаю.
Майкл из KSoftware не отвечает на тикеты совсем.
Re[3]: Проблема получения kSoftware code signing certificate
Здравствуйте, Alexander Avdonin, Вы писали:
AA>А токен купили или заказывете вместе с подписью? Мне говорят, для Sectigo нужен YubiKey, который можно свободно на авито купить. Но прокатит ли это с новой подписью не знаю. AA>Майкл из KSoftware не отвечает на тикеты совсем.
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Треш с Sectigo продолжается второй месяц. NW>Поменял я валидацию на Individual Person. Т.к. у меня нет единого документа с фото и адресом то мне пришлось сделать face-to-face валидацию по 3м документам с заверением у нотариуса. NW>Отослал документы в Sectigo. Пишут 'Unable to verify the address.'. Спрашиваю в чем причина? Молчат. Адрес что указал при регистрации отличается порядком следования номера улицы от того что указан в face-to-face счете. NW>Пишу — в этом дело? Исправьте адрес в акакунте, сам это сделать не можешь. Пищут 'Unable to verify the address.' Опять спрашиваю в чем дело. Так несколько раз. NW>Пишу в чат, все рассказываю, пишут выясняем причину. Говорю — может дело в адресе? Пишут да. Пришлите другие документы. Говорю смените адрес в аккаунте на тот что заверен и проверен и все будет ок. Непонимают, пишу по разному 5 раз, объясняю как дуракам. Вроде поняли. ХЗ что дальше будет...
Аналогично долбаюсь с поддержкой Sectigo по другому вопросу (купил серт через KSoftware на 4 года, выпустили на 3 с обещанием продлить, а теперь KSoftware не отвечает и перевыпускать серт никто не собирается). В квесте с поддержкой дошел до какого-то сениор менеджера, но результата нет. C 2007 года покупал у них сертификаты — больше не буду.
А как вы собираетесь на токен SafeNet записывать сертификат? Мне ответили, что сейчас для Sectigo подходят только токены YubiKey 5 FIPS (и только FIPS, которые дороже в два раза).
По моему опыту для верификации адреса всегда DUNS на ИП работал.
Re[3]: Проблема получения kSoftware code signing certificate
Здравствуйте, Alexander Avdonin, Вы писали:
AA>Аналогично долбаюсь с поддержкой Sectigo по другому вопросу (купил серт через KSoftware на 4 года, выпустили на 3 с обещанием продлить, а теперь KSoftware не отвечает и перевыпускать серт никто не собирается). В квесте с поддержкой дошел до какого-то сениор менеджера, но результата нет. C 2007 года покупал у них сертификаты — больше не буду.
У знакомого шареварщика такая же ситуация. Сертификат был оплачен на 4 года (выдан на 3 года). Сейчас не может получить оплаченный на 1 год, техподдержка говорит покупайте новый, мы вроде как выпустим +1 год бесплатно. Доверия им нет.
У меня истекает сертификат. На руках веб-инсталлер только, как аварийное решение.
Никто не слышал о способах взлома и использования истекшего сертификата чтобы подписать свой код?
Re[5]: Проблема получения kSoftware code signing certificate
Здравствуйте, wantus, Вы писали:
W>Здравствуйте, PeterOne, Вы писали:
PO>>Никто не слышал о способах взлома и использования истекшего сертификата чтобы подписать свой код?
W>Таких способов нет. Однако, если серт еще не истек, то можно подготовиться таким образом — https://rsdn.org/forum/shareware/8532828.1
Здравствуйте, pva, Вы писали:
pva>Здравствуйте, PeterOne, Вы писали:
PO>>У меня истекает сертификат. На руках веб-инсталлер только, как аварийное решение. pva>Веб-инсталер будет лучшим вариантом. Вторичный пакет при этом можно подписывать просроченным сертом, но без метки времени.
А это чем-то лучше чем вообще не подписывать? Для антивирусов лусше?
Типа видно что ехе файл не менялся?
Re[5]: Проблема получения kSoftware code signing certificate
Здравствуйте, Matrix_Failure, Вы писали:
pva>>Веб-инсталер будет лучшим вариантом. Вторичный пакет при этом можно подписывать просроченным сертом, но без метки времени. M_F>А это чем-то лучше чем вообще не подписывать? Для антивирусов лусше? M_F>Типа видно что ехе файл не менялся?
Да, контроль целостности загруженного и доверенности источника.
newbie
Re[8]: Проблема получения kSoftware code signing certificate
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Здравствуйте, PeterOne, Вы писали:
PO>>Не понимаю, как подписать uninstaller? Взять заранее, подписать и подменять в процессе установки?
NW>Зачем? Смысла в подписи uninstaller никакого.
Я думал, что неподписанный uninstaller EXE который будет удалять файлы из Program Files не будет вообще запускаться из-за Smart Screen
Re[9]: Проблема получения kSoftware code signing certificate
PO>Я думал, что неподписанный uninstaller EXE который будет удалять файлы из Program Files не будет вообще запускаться из-за Smart Screen
Запускается. В любом случае это уже потеряный клиент раз удаляет программу.
Re[2]: Проблема получения kSoftware code signing certificate
NW>Получил сегодня сертифиткат. Почти 3 месяца занял процесс. Прислали токен службой UPS eToken 5110 CC (940) хотя я его не покупал у них, думал на свой установить. NW>Сертификат на физлицо. Чтобы подписать нужно установить SafeNet client, воткнуть токен и запустить signtool.exe с правами администратора. От обычного юзера не находится сертификат.
Заплатил 547 в пересчете с бакса на евро включая ват 19%. На 3 года.
Re[3]: Проблема получения kSoftware code signing certificate
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Заплатил 547 в пересчете с бакса на евро включая ват 19%. На 3 года.
Вы на российский адрес проходили валидацию как физлицо? Где сейчас можно купить сертификат для физлица из России?
Смотрел SSL.com предлагают оформить за $130/год + $20/мес если использовать их облако вместо токена. В списке на оплату есть Россия и сайт локализован у них. Кто нибудь побывал там заказывать?
Re[4]: Проблема получения kSoftware code signing certificate
Здравствуйте, scrudg, Вы писали:
S>Смотрел SSL.com предлагают оформить за $130/год + $20/мес если использовать их облако вместо токена. В списке на оплату есть Россия и сайт локализован у них. Кто нибудь побывал там заказывать?
нет там никакой локализации, кривой машинный перевод и оплата иностраннами картами
Re[5]: Проблема получения kSoftware code signing certificate
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, scrudg, Вы писали:
S>>Смотрел SSL.com предлагают оформить за $130/год + $20/мес если использовать их облако вместо токена. В списке на оплату есть Россия и сайт локализован у них. Кто нибудь побывал там заказывать?
I>нет там никакой локализации, кривой машинный перевод и оплата иностраннами картами
Ну так и kSoftware рубли не принимает. Просто получается это самый дешевый сертификат у них и они выпускают IV сертификаты.
Re[11]: Проблема получения kSoftware code signing certificate
Здравствуйте, PeterOne, Вы писали:
PO>Высылают курьером брелок (включен в цену) для генерации подписи — это нововведение (с 1 июня) описывалась выше в теме. Все прошло очень быстро — где-то неделя. Ранее у него был опыт получения codesign, отправил все подтверждающие документы.
Мне в emaro-ssl.ru (получал с их помощью сертификат пару лет назад) сказали, что брелок этот "направляет российское представительство GlobalSign.". У них действительно есть офис в Москве.
Еще я с удивлением узнал, что на ИП можно выпустить EV сертификат.
PO>Их проверяли за рубежом (GlobalSign).
Интересно, это так и задумано... Вроде как если офис в Москве есть, то и логично, чтобы они проверяли.
Здравствуйте, Nonmanual Worker, Вы писали:
NW>Получил сегодня сертифиткат. Почти 3 месяца занял процесс. Прислали токен службой UPS eToken 5110 CC (940) хотя я его не покупал у них, думал на свой установить. NW>Сертификат на физлицо. Чтобы подписать нужно установить SafeNet client, воткнуть токен и запустить signtool.exe с правами администратора. От обычного юзера не находится сертификат.
Теперь все броузеры и винда ругается на мой инсталятор как на подозрительный.
Выскажу свое мнение о сертификатах. Сам факт их появления, усложнение с их получения, значительное удорожение, сложность с использованием (USB токен с этого года) сигнализируют, что правительству США и спецслужбам не нравятся независимые одиночки-разработчики или маленькие команды. Труднее контролировать, что там новое выпускается на рынок. Всех разработчиков загоняют в стойло — MS Store. Где корпорация еще до выхода продукта или любой новой версии может проанализировать, что там за продукт, если необходимо — передать бинарники спецслужбам. По другому я не могу объяснить такое ужесточение контроля запуска приложений под Windows.
И в принципе к Mac это тоже относится, там весь продукт посылается на сервер apple, чтобы провести нотаризацию кода, даже если вы сами распространяете продукт вне AppStore.
Пусть отлежится месяца 2-3. У меня такое же было. Купил, подписал — ругается. Полежало пару месяцев и винда перстала ругаться. Там видать на возраст серта есть каие то ограничения.
Здравствуйте, PeterOne, Вы писали:
PO>Выскажу свое мнение о сертификатах. Сам факт их появления, усложнение с их получения, значительное удорожение, сложность с использованием (USB токен с этого года) сигнализируют, что правительству США и спецслужбам не нравятся независимые одиночки-разработчики или маленькие команды. Труднее контролировать, что там новое выпускается на рынок. Всех разработчиков загоняют в стойло — MS Store. Где корпорация еще до выхода продукта или любой новой версии может проанализировать, что там за продукт, если необходимо — передать бинарники спецслужбам. По другому я не могу объяснить такое ужесточение контроля запуска приложений под Windows.
Здравствуйте, PeterOne, Вы писали:
PO>Выскажу свое мнение о сертификатах. Сам факт их появления, усложнение с их получения, значительное удорожение, сложность с использованием (USB токен с этого года) сигнализируют, что правительству США и спецслужбам не нравятся независимые одиночки-разработчики или маленькие команды.
Другой вариант — сертификаты снижают распространение вирусни. Сертификат получить не очень просто, а со временем неподписанный софт будет запустить все сложнее, например, сначала окна с предупреждениями будут сложнее, потом надо будет через реестр разрешить запуск неподписанных, как-то так.
Re[7]: сертификаты снижают распространение вирусни
JPB>Другой вариант — сертификаты снижают распространение вирусни. Сертификат получить не очень просто, а со временем неподписанный софт будет запустить все сложнее, например, сначала окна с предупреждениями будут сложнее, потом надо будет через реестр разрешить запуск неподписанных, как-то так.
Насколько я заметил из аналогичных обсуждений, комментаторы в основном подписывают только инсталлятор (хотя можно и даже IMHO нужно подписывать все бинарники).
В таком случае чем контрольная сумма инсталлятора указанная на сайте поставщика хуже защищает от вирусов (кроме очевидно автоматизации проверки)?
Коллеги, нашел важную функцию в браузере EDGE. Когда скачиваешь свой EXE с новым сертификатом на который ругается SmartScreen(не доверяет), то можно отправить ДВЕ заявки в Microsoft — одна от лица простого пользователя — типа продукт безопасный. Вторая от лица разработчика — автора скачиваемой программы. Там нужно заполнить анкету.
Кто-нибудь заполнял анкету по этому второму варианту?
Здравствуйте, PeterOne, Вы писали:
PO>Здравствуйте, Александр Широков, Вы писали:
АШ>>В MS Store принимают неподписанные приложения?
PO>Так вроде MS сами подписывают приложения для Store.
Это было бы просто замечательно, можно было бы выкладывать приложение в стор и на сайте давать ссылку на стор. Решило бы проблему с сертификатами. Но нет.
Здравствуйте, m2user, Вы писали:
M>Насколько я заметил из аналогичных обсуждений, комментаторы в основном подписывают только инсталлятор (хотя можно и даже IMHO нужно подписывать все бинарники). M>В таком случае чем контрольная сумма инсталлятора указанная на сайте поставщика хуже защищает от вирусов (кроме очевидно автоматизации проверки)?
Здравствуйте, PeterOne, Вы писали:
PO>Всех разработчиков загоняют в стойло — MS Store. PO>И в принципе к Mac это тоже относится
Мне думается в конечном итоге это выльется в проблему пользователей, а не разработчиков. Ведь как раньше было, я ищу программу и скачиваю для запуска. А ещё раньше покупаю на диске. До этого были дискеты. А до них магнитофонные кассеты.
А сейчас схема прогиба такая.
1. Пользователь покупает устройство и операционку, ну то есть некую платформу.
2. Операционка имеет сертификацию, плюс ещё на уровне устройства всё может быть залочено.
3. А теперь разработчик плати за сертификаты, или даже за наш магазин приложений, или уходи с нашей платформы.
И ведь некоторые самые крупные производители софта действительно ушли с коммерческих торговых платформ от таких компаний как Apple, Google, Microsoft. А чья это в итоге проблема. Раньше под игры покупали новые компьютеры, но где теперь эти времена.
Может просто стоит признать, что пользователям магазинов App Store, Google Play, Microsoft Store и прочих некоторые производители софта не нужны. Потому что тем кому действительно надо найдут как установить программу.
А для остальных разработчиков проблема в маркетинге. Конкретно в том, что у них нет миллионов на разработку и десятков миллионов на рекламу.
Re[8]: сертификаты снижают распространение вирусни
Здравствуйте, m2user, Вы писали:
M>В таком случае чем контрольная сумма инсталлятора указанная на сайте поставщика хуже защищает от вирусов (кроме очевидно автоматизации проверки)?
Тем и хуже. Контрольную сумму никто не проверяет, а те, кто проверяет, и так не ставят всякую шляпу. Контрольная сумма предотвращает распространение вирусни среди масс. Им нужно показать страшное окно и спрятать "Run anyway" за несколькими кликами.
Здравствуйте, PeterOne, Вы писали:
PO>Коллеги, нашел важную функцию в браузере EDGE. Когда скачиваешь свой EXE с новым сертификатом на который ругается SmartScreen(не доверяет), то можно отправить ДВЕ заявки в Microsoft — одна от лица простого пользователя — типа продукт безопасный. Вторая от лица разработчика — автора скачиваемой программы. Там нужно заполнить анкету.
PO>Кто-нибудь заполнял анкету по этому второму варианту?
Здравствуйте, PeterOne, Вы писали:
PO>Так вроде MS сами подписывают приложения для Store.
Хрен там. EXE и MSI не подписывают (с недавних пор принимают их принимают в стор)
А в этом вообще году из-за дебилизма в виде физических токенов цены на сертификаты стали конскими.
Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, PeterOne, Вы писали:
PO>>Так вроде MS сами подписывают приложения для Store.
bnk>Хрен там. EXE и MSI не подписывают (с недавних пор принимают их принимают в стор)
Не знал. Спасибо.
bnk>А в этом вообще году из-за дебилизма в виде физических токенов цены на сертификаты стали конскими.
В РФ получение сертификата с USB бирюлькой стоит 27 тыс руб на 1 год. А Applе сертификат стоит 10 тыс руб (оплата с мобильного счета МТС — продлял в мае). при этом для Apple не нужно собирать все бумажки каждый год, доказывая, что ты не верблюд.
Получается, что для macOS и iPhone/iPad сейчас дешевле и проще писать ПО.
Здравствуйте, PeterOne, Вы писали:
PO>В РФ получение сертификата с USB бирюлькой стоит 27 тыс руб на 1 год. А Applе сертификат стоит 10 тыс руб PO>Получается, что для macOS и iPhone/iPad сейчас дешевле и проще писать ПО.
Только у Apple еще комиссия 30%
Но можно жить на рекламе в бесплатном софте.
Но вообще десктоп и мобилки сравнивать некорректно. Совсем разные рынки, затраты, способы продвижения.
Здравствуйте, PeterOne, Вы писали:
PO>В РФ получение сертификата с USB бирюлькой стоит 27 тыс руб на 1 год.
Где ты его нашел так дешево??? $270 это по сегодняшним временам почти даром. Реселлеры типа leaderssl сдулись.
Точно это цены ЭТОГО года (когда USB бирюлька стала обязательной), а не предыдущего?
У меня еще есть 2 года (до конца 2025), все равно думаю, где в следующий раз брать.
Здравствуйте, Nonmanual Worker, Вы писали:
NW>запустить signtool.exe с правами администратора
Не нужный ей повышенные права.
NW>От обычного юзера не находится сертификат.
Сертификат в signtool можно указать несколькими способами — непосредственно файлом, именем в хранилище, идентификатором контейнера в ключе. Вы его, скорее всего, не указываете явно, поэтому signtool пытается найти его сама в хранилищах текущего пользователя. Если находит только при запуске от администратора — значит, сертификат и лежит в локальном хранилище администратора. Попал он туда, скорее всего, потому, что при установке сертификата Вы запускали браузер или криптоутилиты от имени администратора.
Установите в свое локальное хранилище — будет находить там по умолчанию. Или указывайте явно в командной строке, но тогда придется потрахаться, чтобы подобрать нужные идентификаторы.
Здравствуйте, Zorder, Вы писали:
PO>>В РФ получение сертификата с USB бирюлькой стоит 27 тыс руб на 1 год. А Applе сертификат стоит 10 тыс руб PO>>Получается, что для macOS и iPhone/iPad сейчас дешевле и проще писать ПО.
Z>Только у Apple еще комиссия 30%
Комиссия уже давно 15%, сертификат стоит меньше $25 (649 турецких лир), если сменить регион на Турцию
Z>Но вообще десктоп и мобилки сравнивать некорректно. Совсем разные рынки, затраты, способы продвижения.
App Store он и для desktop тоже и там все как на винде.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Здравствуйте, PeterOne, Вы писали:
PO>>Коллеги, нашел важную функцию в браузере EDGE. Когда скачиваешь свой EXE с новым сертификатом на который ругается SmartScreen(не доверяет), то можно отправить ДВЕ заявки в Microsoft — одна от лица простого пользователя — типа продукт безопасный. Вторая от лица разработчика — автора скачиваемой программы. Там нужно заполнить анкету.
U_E>Подкину еще полезную ссылку: U_E>https://www.microsoft.com/en-us/wdsi/filesubmission
U_E>Там можно выбрать SmartScreen, указать, что его предупреждение ложное, и в течение суток оно исчезнет.
Спасибо за подсказку! Отправил репорт в MS по своему продукту.
Подал 3 часа назад заявку в Microsoft по ссылке выше по проблеме SmartScreen. И уже заявка одобрена — файл дистрибутива скачивается нормально. Ответ разъясняет:
"Появившееся предупреждение указывает на то, что ни приложение, ни сертификат подписи не имели на тот момент репутации в службах SmartScreen защитника Microsoft. Мы можем подтвердить, что приложение «..._setup.exe» с тех пор приобрело репутацию, и при попытке загрузить или запустить приложение больше не должно появляться никаких предупреждений.
Обратите внимание, что сертификат подписи (отпечаток 7CC378460EC2DAB41CC1961EA57B3BFB.......) все еще находится в процессе установления репутации. После завершения все приложения, подписанные этим сертификатом, с самого начала должны работать без предупреждений."
Здравствуйте, Александр Широков, Вы писали:
Z>>Только у Apple еще комиссия 30% АШ>Комиссия уже давно 15%, сертификат стоит меньше $25 (649 турецких лир), если сменить регион на Турцию
Да точно, упустил этот момент с комиссией... У меня сейчас оттуда доход небольшой.
А чтобы оплачивать с турецкого аккаунта видимо карта турецкая нужна? Хотя в любом случае это мелочь по сравнению с затратами на разработку.
Здравствуйте, PeterOne, Вы писали:
PO>Подал 3 часа назад заявку в Microsoft по ссылке выше по проблеме SmartScreen. И уже заявка одобрена — файл дистрибутива скачивается нормально.
Неплохо. Я бы попробовал на другом компе скачать, не на своем. А так три часа — это супербыстро
$270 это по сегодняшним временам почти даром. Реселлеры типа leaderssl сдулись.
