Пытаюсь продлить EV-сертификат для подписи кода у GlobalSign. Написали, что сейчас сертификат можно скачать только через приложение Fortify. Сама идея не столь уж плоха — традиционная процедура с забиранием сертификата через браузер вечно глючит, каждый раз нужны определенные версии определенных браузеров, мало у кого получается забрать с первой попытки.

Но как-то напрягает, что это Fortify — какое-то левое поделие, позиционируемое для "cross-browser usage of local certificates and smart cards". То есть, скачивание/установка сертификата — лишь побочная функция, а основная — внедриться в систему владельца сертификата, и всем там управлять.

Также напрягает, что в нижнем правом углу каждой страницы на сайте постоянно висит сине-желтый значок, при нажатии на который открывается "Stop Russian aggression!". Для весны 2022 это было бы еще более-менее объяснимо, но для конца лета 2023-го — уже нет.

Насколько эта контора и ее приложение котируется в мире? Можно им доверять, или нунах?

Всякое непонятное ставь в песочницу. Virtualbox на ура справляется своими задачами.

Здравствуйте, Crimson, Вы писали:

C>Всякое непонятное ставь в песочницу.

А толку, коли этой тулзой предлагается извлечь выпущенный сертификат с сервера GlobalSign, и записать его в аппаратный ключ? То есть, виртуалка не помешает ей спереть секретный ключ сертификата.

ЕМ>А толку, коли этой тулзой предлагается извлечь выпущенный сертификат с сервера GlobalSign, и записать его в аппаратный ключ? То есть, виртуалка не помешает ей спереть секретный ключ сертификата.

Как я понимаю, приватный ключ генерируется локально, далее по нему формируется CSR:
Судя по ссылке, там 3 опции:
— самостоятельно сделать CSR,
— через IE,
— через Fortify

И если этот Fortify сам генерирует приватный ключ и записывает его в аппаратный токен, то может передать его куда-то в интернет.
Судя по https://fortifyapp.com/developers и https://fortifyapp.com/#faq там локальное приложение, слушающее tcp-порт, и JS в веб-браузере.
Локальное приложение в принципе не должно лазить в интернет, а сетевые запросы JS компонента в теории можно отследить через dev tool веб-браузера.

Я бы попробовал так минимизировать риски.
Но в идеале конечно самому генерировать приватный ключ и помещать в аппаратный токен и далее отслеживать, что именно подписывает им то или иное приложение.

Здравствуйте, m2user, Вы писали:

M>Судя по ссылке, там 3 опции:
M>- самостоятельно сделать CSR,
M>- через IE,
M>- через Fortify

Поддержка сказала, что сейчас выпускают с отдачей только через Fortify. Но как-то очень странно, что способ получения сертификата необходимо выбирать на стадии заказа. По уму, он должен выбираться на стадии извлечения.

M>Судя по https://fortifyapp.com/developers и https://fortifyapp.com/#faq там локальное приложение, слушающее tcp-порт, и JS в веб-браузере.
M>Локальное приложение в принципе не должно лазить в интернет, а сетевые запросы JS компонента в теории можно отследить через dev tool веб-браузера.

Я пока не пойму, как оно взаимодействует с сервером GlobalSign. Разве что на страницах размещен JS-код, который взаимодействует с ним через этот локальный порт.

M>Но в идеале конечно самому генерировать приватный ключ и помещать в аппаратный токен и далее отслеживать, что именно подписывает им то или иное приложение.

Да я б с радостью. Но время нынче такое, что бодаться чревато.

ЕМ>Поддержка сказала, что сейчас выпускают с отдачей только через Fortify.

да, я понял..

EM>Но как-то очень странно, что способ получения сертификата необходимо выбирать на стадии заказа. По уму, он должен выбираться на стадии извлечения.

Судя по скриншоту он может влиять на total cost.
И что делать если ты заказал, а потом тебя не устроил Key generation option.

ЕМ>Я пока не пойму, как оно взаимодействует с сервером GlobalSign. Разве что на страницах размещен JS-код, который взаимодействует с ним через этот локальный порт.

Да, JS-код. На страничке для разработчиков же нарисовано и пример JS-кода приведен.
В описании их github репо (desktop app) написано, что при обмене данными локального JS-кода с удаленным сервером используется Double Ratchet протокол поверх TLS.
Т.е. посмотреть передаваемые данные вероятно будет затруднительно.
Но можно попробовать написать свою реализацию JS-кода на базе документации и с использованием JS-библиотек от Fortify совместимую с серверной частью от GlobalSign.

Здравствуйте, m2user, Вы писали:

M>можно попробовать написать свою реализацию JS-кода

Попробовать можно, но я этого делать точно не буду.

Получите с GlobalSign quote, отнесите её в Digicert и скажите, что GlobalSign задолбал и горю желанием уйти от них. Они за это могут дать бесплатный токен и точно матчнут quote. Сейлс в обоих местах одинкаво противный, но инфраструктура и саппорт в DigiCert на порядок приличнее.

Здравствуйте, wantus, Вы писали:

W>Получите с GlobalSign quote, отнесите её в Digicert и скажите, что GlobalSign задолбал и горю желанием уйти от них.

В 2017-м я ушел от DigiCert, который задолбал, к GlobalSign, который достаточно быстро сделал сертификат.

W>Они за это могут дать бесплатный токен

У GlobalSign токен входит в цену сертификата.

W>инфраструктура и саппорт в DigiCert на порядок приличнее.

Возможно, для Штатов/Европы оно так и есть, но у меня пока нет возможности зарегистрировать business entity в Европе. А с российскими предпринимателями GlobalSign работает (по крайней мере, работал до последнего времени) достаточно адекватно.

ЕМ>У GlobalSign токен входит в цену сертификата.

А чего тогда не попросишь отправить тебе почтой?
Или забрать в их офисе во франции

Здравствуйте, TailWind, Вы писали:

ЕМ>>У GlobalSign токен входит в цену сертификата.

TW>А чего тогда не попросишь отправить тебе почтой?
TW>Или забрать в их офисе во франции

Вы, похоже, не в курсе механизма генерации закрытых/открытых ключей сертификатов SSL.

ЕМ>Вы, похоже, не в курсе механизма генерации закрытых/открытых ключей сертификатов SSL.

Да, извините, забыл что его нужно самому на флешку записывать
Подумал вы хотите виртуальный сделать ключ без флешки

Здравствуйте, TailWind, Вы писали:

TW>Подумал вы хотите виртуальный сделать ключ без флешки

Я бы предпочел как раз виртуальный, без аппаратного ключа, но не дают. Насколько я знаю, теоретически можно сделать эмулятор, но пока никто не заморочился, и самому недосуг.

Но создавать приватный ключ я в любом случае хочу сам, иначе это не безопасность, а фикция.

TW>>Подумал вы хотите виртуальный сделать ключ без флешки

ЕМ>Я бы предпочел как раз виртуальный, без аппаратного ключа, но не дают. Насколько я знаю, теоретически можно сделать эмулятор, но пока никто не заморочился, и самому недосуг.

У фортифая в багтрекере есть примеры, как SoftHSM подключить.

https://github.com/PeculiarVentures/fortify/issues/438#issuecomment-942588497

Please try to add your PKCS11 provider using Fortify config file (~/fortify/config.json).

{
  "providers": [
    {
      "lib": "/usr/local/lib/softhsm/libsofthsm2.so",
      "slots": [
        0
      ],
      "name": "SoftHSM"
    }
  ]
}

Здравствуйте, m2user, Вы писали:

M>У фортифая в багтрекере есть примеры, как SoftHSM подключить.

Спасибо, но я от всего этого очень далек. Это поделие производит впечатление толкового, которому можно доверять при работе с сертификатами?

M>>У фортифая в багтрекере есть примеры, как SoftHSM подключить.

ЕМ>Спасибо, но я от всего этого очень далек. Это поделие производит впечатление толкового, которому можно доверять при работе с сертификатами?

SoftHSM? Не знаю, лучше спросить у более сведущих людей. Вроде бы весьма распространенная FOSS реализация PKCS#11.

Здравствуйте, m2user, Вы писали:

ЕМ>>Это поделие производит впечатление толкового, которому можно доверять при работе с сертификатами?

M>SoftHSM?

Fortify.

ЕМ>>>Это поделие производит впечатление толкового, которому можно доверять при работе с сертификатами?

M>>SoftHSM?

ЕМ>Fortify.

Мое мнение следующее: вся эта схема получения сертификата переусложнена, и самая уязвимая часть в ней это веб-браузер.
В них обычно куча уязвимостей, у пользователей установлены старые версии, а ведь ещё есть сторонние плагины с нехилыми правами.
Я бы на месте GlobalSign вообще убрал веб-браузер из процедуры, и поставлял бы desktop/shell app типа fortify (desktop часть которого кстати на Electron, т.е. как бы сама по себе веб-браузер).

Что касается именно Fortify, то я считаю, что раз это выбор GlobalSign, то и потенциальные (репутационные) риски тоже их.
Вы же не проводили аудит сторонних JS-библиотек, используемых сайтом GlobalSign, когда ранее получали сертификат через веб-браузер.

Здравствуйте, m2user, Вы писали:

M>вся эта схема получения сертификата переусложнена

А что вообще в области ЭЦП не переусложнено? Взять хотя бы изготовление самодельных сертификатов — насколько я знаю, до сих пор нет ни одной удобной утилиты для этого, все делают через OpenSSL. Вместо универсальной и прозрачной схемы, которая давно должна была сформироваться вокруг ЭЦП, везде до сих пор откровенный колхоз.

M>Я бы на месте GlobalSign вообще убрал веб-браузер из процедуры, и поставлял бы desktop/shell app типа fortify

Я сперва и подумал, что Fortify все делает само. Отчего и удивился, увидев на сайте описание совершенно левой (для операции получения сертификата) функциональности.

M>Вы же не проводили аудит сторонних JS-библиотек, используемых сайтом GlobalSign, когда ранее получали сертификат через веб-браузер.

Ну там они вроде как встроены. А тут — "пойди сам на левый сайт, скачай там левую тулзу...".

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Пытаюсь продлить EV-сертификат для подписи кода у GlobalSign.

На ИП? Я только недавно узнал, что GlobalSign умеет для российского ИП выпускать EV-сертификат (я наивно полагал, что нужна именно компания). Так это давно было возможно?