Пытаюсь продлить EV-сертификат для подписи кода у GlobalSign. Написали, что сейчас сертификат можно скачать только через приложение Fortify. Сама идея не столь уж плоха — традиционная процедура с забиранием сертификата через браузер вечно глючит, каждый раз нужны определенные версии определенных браузеров, мало у кого получается забрать с первой попытки.
Но как-то напрягает, что это Fortify — какое-то левое поделие, позиционируемое для "cross-browser usage of local certificates and smart cards". То есть, скачивание/установка сертификата — лишь побочная функция, а основная — внедриться в систему владельца сертификата, и всем там управлять.
Также напрягает, что в нижнем правом углу каждой страницы на сайте постоянно висит сине-желтый значок, при нажатии на который открывается "Stop Russian aggression!". Для весны 2022 это было бы еще более-менее объяснимо, но для конца лета 2023-го — уже нет.
Насколько эта контора и ее приложение котируется в мире? Можно им доверять, или нунах?
Re: GlobalSign, сертификат для подписи кода, Fortify
Здравствуйте, Crimson, Вы писали:
C>Всякое непонятное ставь в песочницу.
А толку, коли этой тулзой предлагается извлечь выпущенный сертификат с сервера GlobalSign, и записать его в аппаратный ключ? То есть, виртуалка не помешает ей спереть секретный ключ сертификата.
Re[3]: GlobalSign, сертификат для подписи кода, Fortify
ЕМ>А толку, коли этой тулзой предлагается извлечь выпущенный сертификат с сервера GlobalSign, и записать его в аппаратный ключ? То есть, виртуалка не помешает ей спереть секретный ключ сертификата.
Как я понимаю, приватный ключ генерируется локально, далее по нему формируется CSR:
Судя по ссылке, там 3 опции:
— самостоятельно сделать CSR,
— через IE,
— через Fortify
И если этот Fortify сам генерирует приватный ключ и записывает его в аппаратный токен, то может передать его куда-то в интернет.
Судя по https://fortifyapp.com/developers и https://fortifyapp.com/#faq там локальное приложение, слушающее tcp-порт, и JS в веб-браузере.
Локальное приложение в принципе не должно лазить в интернет, а сетевые запросы JS компонента в теории можно отследить через dev tool веб-браузера.
Я бы попробовал так минимизировать риски.
Но в идеале конечно самому генерировать приватный ключ и помещать в аппаратный токен и далее отслеживать, что именно подписывает им то или иное приложение.
Re[4]: GlobalSign, сертификат для подписи кода, Fortify
Здравствуйте, m2user, Вы писали:
M>Судя по ссылке, там 3 опции: M>- самостоятельно сделать CSR, M>- через IE, M>- через Fortify
Поддержка сказала, что сейчас выпускают с отдачей только через Fortify. Но как-то очень странно, что способ получения сертификата необходимо выбирать на стадии заказа. По уму, он должен выбираться на стадии извлечения.
M>Судя по https://fortifyapp.com/developers и https://fortifyapp.com/#faq там локальное приложение, слушающее tcp-порт, и JS в веб-браузере. M>Локальное приложение в принципе не должно лазить в интернет, а сетевые запросы JS компонента в теории можно отследить через dev tool веб-браузера.
Я пока не пойму, как оно взаимодействует с сервером GlobalSign. Разве что на страницах размещен JS-код, который взаимодействует с ним через этот локальный порт.
M>Но в идеале конечно самому генерировать приватный ключ и помещать в аппаратный токен и далее отслеживать, что именно подписывает им то или иное приложение.
Да я б с радостью. Но время нынче такое, что бодаться чревато.
Re[5]: GlobalSign, сертификат для подписи кода, Fortify
ЕМ>Поддержка сказала, что сейчас выпускают с отдачей только через Fortify.
да, я понял..
EM>Но как-то очень странно, что способ получения сертификата необходимо выбирать на стадии заказа. По уму, он должен выбираться на стадии извлечения.
Судя по скриншоту он может влиять на total cost.
И что делать если ты заказал, а потом тебя не устроил Key generation option.
ЕМ>Я пока не пойму, как оно взаимодействует с сервером GlobalSign. Разве что на страницах размещен JS-код, который взаимодействует с ним через этот локальный порт.
Да, JS-код. На страничке для разработчиков же нарисовано и пример JS-кода приведен.
В описании их github репо (desktop app) написано, что при обмене данными локального JS-кода с удаленным сервером используется Double Ratchet протокол поверх TLS.
Т.е. посмотреть передаваемые данные вероятно будет затруднительно.
Но можно попробовать написать свою реализацию JS-кода на базе документации и с использованием JS-библиотек от Fortify совместимую с серверной частью от GlobalSign.
Re[6]: GlobalSign, сертификат для подписи кода, Fortify
Получите с GlobalSign quote, отнесите её в Digicert и скажите, что GlobalSign задолбал и горю желанием уйти от них. Они за это могут дать бесплатный токен и точно матчнут quote. Сейлс в обоих местах одинкаво противный, но инфраструктура и саппорт в DigiCert на порядок приличнее.
Re[2]: GlobalSign, сертификат для подписи кода, Fortify
Здравствуйте, wantus, Вы писали:
W>Получите с GlobalSign quote, отнесите её в Digicert и скажите, что GlobalSign задолбал и горю желанием уйти от них.
В 2017-м я ушел от DigiCert, который задолбал, к GlobalSign, который достаточно быстро сделал сертификат.
W>Они за это могут дать бесплатный токен
У GlobalSign токен входит в цену сертификата.
W>инфраструктура и саппорт в DigiCert на порядок приличнее.
Возможно, для Штатов/Европы оно так и есть, но у меня пока нет возможности зарегистрировать business entity в Европе. А с российскими предпринимателями GlobalSign работает (по крайней мере, работал до последнего времени) достаточно адекватно.
Re[3]: GlobalSign, сертификат для подписи кода, Fortify
Здравствуйте, TailWind, Вы писали:
ЕМ>>У GlobalSign токен входит в цену сертификата.
TW>А чего тогда не попросишь отправить тебе почтой? TW>Или забрать в их офисе во франции
Вы, похоже, не в курсе механизма генерации закрытых/открытых ключей сертификатов SSL.
Re[5]: GlobalSign, сертификат для подписи кода, Fortify
Здравствуйте, TailWind, Вы писали:
TW>Подумал вы хотите виртуальный сделать ключ без флешки
Я бы предпочел как раз виртуальный, без аппаратного ключа, но не дают. Насколько я знаю, теоретически можно сделать эмулятор, но пока никто не заморочился, и самому недосуг.
Но создавать приватный ключ я в любом случае хочу сам, иначе это не безопасность, а фикция.
Re[7]: GlobalSign, сертификат для подписи кода, Fortify
TW>>Подумал вы хотите виртуальный сделать ключ без флешки
ЕМ>Я бы предпочел как раз виртуальный, без аппаратного ключа, но не дают. Насколько я знаю, теоретически можно сделать эмулятор, но пока никто не заморочился, и самому недосуг.
У фортифая в багтрекере есть примеры, как SoftHSM подключить.
M>>У фортифая в багтрекере есть примеры, как SoftHSM подключить.
ЕМ>Спасибо, но я от всего этого очень далек. Это поделие производит впечатление толкового, которому можно доверять при работе с сертификатами?
SoftHSM? Не знаю, лучше спросить у более сведущих людей. Вроде бы весьма распространенная FOSS реализация PKCS#11.
Re[10]: GlobalSign, сертификат для подписи кода, Fortify
ЕМ>>>Это поделие производит впечатление толкового, которому можно доверять при работе с сертификатами?
M>>SoftHSM?
ЕМ>Fortify.
Мое мнение следующее: вся эта схема получения сертификата переусложнена, и самая уязвимая часть в ней это веб-браузер.
В них обычно куча уязвимостей, у пользователей установлены старые версии, а ведь ещё есть сторонние плагины с нехилыми правами.
Я бы на месте GlobalSign вообще убрал веб-браузер из процедуры, и поставлял бы desktop/shell app типа fortify (desktop часть которого кстати на Electron, т.е. как бы сама по себе веб-браузер).
Что касается именно Fortify, то я считаю, что раз это выбор GlobalSign, то и потенциальные (репутационные) риски тоже их.
Вы же не проводили аудит сторонних JS-библиотек, используемых сайтом GlobalSign, когда ранее получали сертификат через веб-браузер.
Re[12]: GlobalSign, сертификат для подписи кода, Fortify
Здравствуйте, m2user, Вы писали:
M>вся эта схема получения сертификата переусложнена
А что вообще в области ЭЦП не переусложнено? Взять хотя бы изготовление самодельных сертификатов — насколько я знаю, до сих пор нет ни одной удобной утилиты для этого, все делают через OpenSSL. Вместо универсальной и прозрачной схемы, которая давно должна была сформироваться вокруг ЭЦП, везде до сих пор откровенный колхоз.
M>Я бы на месте GlobalSign вообще убрал веб-браузер из процедуры, и поставлял бы desktop/shell app типа fortify
Я сперва и подумал, что Fortify все делает само. Отчего и удивился, увидев на сайте описание совершенно левой (для операции получения сертификата) функциональности.
M>Вы же не проводили аудит сторонних JS-библиотек, используемых сайтом GlobalSign, когда ранее получали сертификат через веб-браузер.
Ну там они вроде как встроены. А тут — "пойди сам на левый сайт, скачай там левую тулзу...".
Re: GlobalSign, сертификат для подписи кода, Fortify
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Пытаюсь продлить EV-сертификат для подписи кода у GlobalSign.
На ИП? Я только недавно узнал, что GlobalSign умеет для российского ИП выпускать EV-сертификат (я наивно полагал, что нужна именно компания). Так это давно было возможно?