Доброго времени суток, уважаемое сообщество — если кому интересно:
short version:
"Путь джидая, который хочет "вечный сетап" подписаный цифровой подписью один раз.
Я хочу девелопить свою аппку и релизить её когда захочу _без_ лишних конкурсов.
И который не хочет получать хардварный токен (на дворе 2023!) и не хочу набирать
репутацию на каждый апдейт аппки заново".
tldr:
Я для себя открыл, что некоторые провайдеры CodeSign сертов, предоставляют
"подпись в облаке" — т.е. не ты, а _они_ менеджерят твой серт, и подписывают файл "у себя",
что избавлят тебя необходимости в иметь "хардварный токен", которую всем централизовано навязали
очередные "рагуляторы". (моё мнение — что это никакая не безопасность, а банальные деньги за эти
самые хардварные токены, и у производителей лобби в рагуляторе).
у меня есть аккаунты как диджисерта, так и сектиго — покупал оба раньше.
Меня _не_ устраивает конская цена и некоторые условия валидации (я в эмиграции, далеко от дома).
Я остановился на ssl.com (цена, "клауд сайнинг", и развитая "панель" с документацией)
------------------------------------------------------------------
1. нужен корректный линк на IV CS certificate buynow: (это НЕ реферальная ссылка и не реклама) https://www.ssl.com/certificates/iv-code-signing/buy/
2. пройти валидацию типа kyc с мобилы (5-10 минут):
загрузить 3 (!) дока в форму запроса документов:
— фото пасспорта
— селфи с пасспортом
— просто селфи
+ догрузить фото техпасспорта авто — с адресом (фронт\бэк)
(любой гос док, где есть адрес)
4. ждать 2-4 дня ответа валидаторов
5. дают добро, переходим к пункту 6.
6. заходим в панель, находим заказ
7. настроить OTP-via Google Authenticator + OTP PIN
8. активировать esigner https://express.esigner.com/esign
9. логинимся на esigner, если всё ок, то аплоадим .exe,
через пару секунд скачиваем подписанный с диджитал сигнатюром.
------------------------------------------------------------------
n.b.1: я ошибся с урлом покупки серта, вместо IV, купил OV. Написал в онлайн чат саппорт —
дали "внутренний рефанд" — деньги ушли на их внутренний счёт, с которого можно "купить" нужный серт.
Защёл по новому линку (выпросил от саппорта) и купил нужный серт — IV.
n.b.2: у них супер быстрый и адекватный саппорт в чате (просим робота, поговорить с человеком)
(какашки с саппортом я поел вдоволь и с диджисертом и с сектиго в своё время).
n.b.3: валидацию "влёт" я не смог пройти — запросили селфи с техпасспортом,
а он у меня в другой стране. (я психанул, расстроился — так как тхначально этих
условий в их документации по валидации не было). Я отправил письмо где объяснил ситуацию —
написал, что могу удалённо сделать любое фото (хоть с "контрольным" розовым слоником)
руками отца, у которого остался документ. Валидатора чуть отпустило и он написал,
что ок, можно без селфи — он сослался что селфи с заграном которое я сдела в пункте 2 — достаточно.
Попросил прислать фото техпасспорта фронт\бек. Что я и сделал. Через 24 часа дали валидацию.
n.b.4: саппорт написал, что надо игнорить надписи на формах (на них не тот список доков)
— так как надо грузить доки из списка, а надписи на формах — они для OV.
n.b.5: не все письма от валидатора и саппорта до меня добрались — я хз почему — у меня гуглопочта.
Надо писать в онайлн саппорт и пинать — они пинают валидаторов и это работает.
n.b.6: при логине на esigner, типы файлов — оказались только документами, исполняемых файлов — зеро.
Нужно было активировать сам esigner, пин код ОТП, и гуглоаутентификатор. (сделал это по инструкции на на глав сайте)
При подписи в клауде нужно вводить ОТП код с ГА каждый раз. (но это всяко лучше ХВ токена).
n.b.7: полученый серт, не проходит смартскрин . Пока. Идёт накопление репутации.
n.b.8: не все ексешники моего проекта удалось подписать сразу. "Вечноподписаный лоадер" — esigner отказался
подписать (задетектировав блок загрузки кода из ассембли сборки) выдав на гора "malware detected!".
(я подумал, что они однако _не дартаньяны_ а как раз наоборот!)
так как к мальваре это не имеет отношения, а вот к нежеланию давать выполнять динамическую загрузку — очень даже да.
(они не хотят терять доход, и борются с "лоадерами" ИМХО)
"Бизнес, ничего личного". Я стреляный козлик, прошёлся "смартассембли" по проблемному ексешнику — и вуаля
esigner всё подписал и не мявкал.
n.b.9: _очень_ развитый АПИ и документация, можно всё влёт и быстро автоматизировать.
"Круть, верть и вуаля!" — не надо никаких ХВ токенов (это я про то как подсуетились сами же провайдеры сертов)
n.b. Перед тем как меня пинать вот такая техдеталь — для дотнета что exe, что dll это _одинаковые_
исполняемые модули — поэтому попытка их разделить на "это можно грузиить, а это нельзя"
— это полная чушь и глупость. ("а давайте забаним все дллки! они апасные! (с)").
------------------------------------------------------------------
Все удачи и спасибо!
--
С наилучшими пожеланиеми,
Пересичный шароварщик из незалежной.
Ага, не нужен токен, зато в любой момент облако может сказать "нашему AI не нравится статистика по твоим экзешникам, слови-ка перманентный бан".
А они это рано или поздно сделают, потому что малварописатели будут их сервисом пользоваться, и вручную никто миллионы экзешников проверять не будет. Сделают правило "100 срабатываний и бан", и ходи потом доказывай, что не верблюд.
Здравствуйте, Quebecois, Вы писали:
Q>А они это рано или поздно сделают, потому что малварописатели будут их сервисом пользоваться, и вручную никто миллионы экзешников проверять не будет. Сделают правило "100 срабатываний и бан", и ходи потом доказывай, что не верблюд.
У меня 8000 игр. Подпись конечно нужна. Но я решил не проходить этот квест. И денег сэкономлю.
Смотрю конкурент itch.io льют туда игроделы без всяких подписей и все качают и счастливы!
Здравствуйте, Quebecois, Вы писали:
Q>Ага, не нужен токен, зато в любой момент облако может сказать "нашему AI не нравится статистика по твоим экзешникам, слови-ка перманентный бан".
Q>А они это рано или поздно сделают, потому что малварописатели будут их сервисом пользоваться, и вручную никто миллионы экзешников проверять не будет. Сделают правило "100 срабатываний и бан", и ходи потом доказывай, что не верблюд.
В этом мире может быть _всё_ конечно...
Но (!)
я научился решать проблемы _по мере их поступления_, это раз.
Два — мозг выдумывает проблемы там где из нет, и страдает по этому поводу.
Те же проблемы, которые доставляют самые большие трудозатраты — мозг на их тему не париться ).
По сути: чем онлайн клауд подписаный файл, отличается от оффлайн подписаного через сайнтул от МСВС? — правильный ответ "ничем"!
Захотят — отозвут серт, заблеклистят его через механизм отзыва сертов в МС. И отваляться оба серта — и онлайн и оффлайн.
1. Их бизнес модель диктует им всё подписывать не задавая вопросов и это правильно.
2. Детект вирусов это не их задача и не их компетенция. (это должны, и будут делать АВ вендоры)
3. Разница в оффлайн и онлайн подписи — её нет, сточки зрения безопасности.
4. Вирусописатели могут так же завалидироватся на оффлайн серт и подписывать себе наздоровье с те ми же последствиями.
5. После прохода обфускаторами — или всё надо маркировать как вирус, или не лезть в дело, которое не понимаешь.
Ну и самая большая огибка — вы почему то думаете, что если токен у вас, то ваш серт будет "жить вечно"? Это конечно же не так .
Захотят и его отключат — "нет разницы" в отношении рисков тоже. И это надо понимать.
"малварописатели будут их сервисом пользоваться" — это утверждение ложно.
"и вручную никто миллионы экзешников проверять не будет" — этого тезиса я не понимаю.
ага... я понял, вы имели ввиду их доморозеный антивирус — который сработал на мой лоадер.
Так я написал — он не про малварь (им она не интересна) он про борьбу с халявщиками вроде меня .
Если б я был мальварщиком — я бы точно "подписывал с оффлайн серта" и точно обошёл бы вот этот внутренний АВ.
Просто вы неправильно смотрите на механизм поимки — надо ловить "малварь после выполнения на клиенте, с диджитал подписью" и её отзывать.
Это правильный и работающиё механизм. А вот эти детские попытки что-то понять в коде — плохой он или нет (до подписи), это выстрел в ногу своей бизнес модели,
и выход за рамки своей компетенции и задач.
У вас логические ошибки как в утверждениях, так и в выводах.
Поэтому, то что вы пишете не верно на мноих уровнях.
--
С наилучшими пожеланиеми,
Пересичный шароварщик из незалежной.
ПШ>n.b.6: при логине на esigner, типы файлов — оказались только документами, исполняемых файлов — зеро. ПШ>Нужно было активировать сам esigner, пин код ОТП, и гуглоаутентификатор. (сделал это по инструкции на на глав сайте) ПШ>При подписи в клауде нужно вводить ОТП код с ГА каждый раз. (но это всяко лучше ХВ токена).
Почему это лучше, чем hardware токен? Тут недавно была тема, как процесс автоматизировать, чтобы не вводить pin код постоянно: globalsign рутокен
Re: Мой опыт получения IV CodeSign certificate 2023, за 6 дней,
Здравствуйте, Пересичный Шароварщик, Вы писали:
ПШ>что избавлят тебя необходимости в иметь "хардварный токен", которую всем централизовано навязали ПШ>очередные "рагуляторы". (моё мнение — что это никакая не безопасность, а банальные деньги за эти ПШ>самые хардварные токены, и у производителей лобби в рагуляторе).
eSigner Tier
Pricing Tier:
Tier 1 Monthly — $20/Mo — 20 Signings — 1 Credential
...
New certificates will receive 30-days free of eSigner cloud signing. After the first 30 days, your monthly or annual subscription fees will be applied.
Первый месяц бесплатно, а за оставшиеся 11 месяцев $220.
Т.е. хардварный токен окупится чуть больше чем за год.
Или я чего-то не поинмаю?
Re[2]: Мой опыт получения IV CodeSign certificate 2023, за 6 дней,
Здравствуйте, Пересичный Шароварщик, Вы писали:
ПШ>Доброго времени суток, уважаемое сообщество — если кому интересно:
Спасибо за рассказ. Для меня пока не так актуально (есть еще 2 года), но потом тоже думаю про подпись "в облаке".
Как-то удивительно смотрится у них сертификат на 10 лет в опциях. Никогда дольше 3 лет не видел
Re[2]: Мой опыт получения IV CodeSign certificate 2023, за 6 дней,
Здравствуйте, m2user, Вы писали:
M>Почему это лучше, чем hardware токен? Тут недавно была тема, как процесс автоматизировать, чтобы не вводить pin код постоянно: globalsign рутокен
Есть ещё Azure Key Vault, работает в связке с AzureSignTool, сертификат туда импортируется из GlobalSign и Digicert, может ещё можно откуда-то. Цены адекватные.
Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, Пересичный Шароварщик, Вы писали:
ПШ>>Доброго времени суток, уважаемое сообщество — если кому интересно:
bnk>Спасибо за рассказ. Для меня пока не так актуально (есть еще 2 года), но потом тоже думаю про подпись "в облаке". bnk>Как-то удивительно смотрится у них сертификат на 10 лет в опциях. Никогда дольше 3 лет не видел
я раньше покукал у комодо сертификат на 5 лет, максимальный серт могут выдать на 3 года и 3 месяца и потом надо выпускать новый, так что это вы просто оплачиваете авансом на 10 лет. и вот когда мне пришло время перевыпускть серт, мне все дружно помахали ручкой и даже не предложили вернуть деньги...
Так что рациональнее всего покупать на 3 года.
Re: Мой опыт получения IV CodeSign certificate 2023, за 6 дней,
Здравствуйте, m2user, Вы писали:
ПШ>>n.b.6: при логине на esigner, типы файлов — оказались только документами, исполняемых файлов — зеро. ПШ>>Нужно было активировать сам esigner, пин код ОТП, и гуглоаутентификатор. (сделал это по инструкции на на глав сайте) ПШ>>При подписи в клауде нужно вводить ОТП код с ГА каждый раз. (но это всяко лучше ХВ токена).
M>Почему это лучше, чем hardware токен? Тут недавно была тема, как процесс автоматизировать, чтобы не вводить pin код постоянно: globalsign рутокен
Как я уже писал выше есть АПИ ватоматизации процесса. ОТП нужен только для "подписать руками быстро".
jedem das seine
--
С наилучшими пожеланиеми,
Пересичный шароварщик из незалежной.
Re[2]: Мой опыт получения IV CodeSign certificate 2023, за 6 дней,
Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, Пересичный Шароварщик, Вы писали:
ПШ>>Доброго времени суток, уважаемое сообщество — если кому интересно:
bnk>Спасибо за рассказ. Для меня пока не так актуально (есть еще 2 года), но потом тоже думаю про подпись "в облаке". bnk>Как-то удивительно смотрится у них сертификат на 10 лет в опциях. Никогда дольше 3 лет не видел
Это вот хороший вопрос про 10 лет.
Они или перевыпускают серт раз в 1-3 года (они всё под-капотом держат, у вас доступа к тушке серта нет),
поэтому могут вот такой маркетинговый ход в декларируемых 10 лет писать.
Срок жизни серта регламентируем правилами "рагулятора". Теми же что и про ХВ придумали.
Мир быстр.
Планирование на 10 лет в шароваре — непозволительная роскошь (с).
--
С наилучшими пожеланиеми,
Пересичный шароварщик из незалежной.
Re[3]: Мой опыт получения IV CodeSign certificate 2023, за 6 дней,
Здравствуйте, М.Р., Вы писали:
МР>Есть ещё Azure Key Vault, работает в связке с AzureSignTool, сертификат туда импортируется из GlobalSign и Digicert, может ещё можно откуда-то. Цены адекватные.
Спасибо за инфо — я только что подресерчил тему —
Открыл для себя что AZV это хранилище с возможностью импорта "прямо из рук эмитента в обход ваших рук", AzureSignTool это сайнтул для него.
У них есть кооперация как с Диджисертом так и с globalsign.com
Здравствуйте, /aka/, Вы писали:
A>Здравствуйте, Пересичный Шароварщик, Вы писали:
ПШ>>что избавлят тебя необходимости в иметь "хардварный токен", которую всем централизовано навязали ПШ>>очередные "рагуляторы". (моё мнение — что это никакая не безопасность, а банальные деньги за эти ПШ>>самые хардварные токены, и у производителей лобби в рагуляторе).
A>
A>eSigner Tier
A>Pricing Tier:
A>Tier 1 Monthly — $20/Mo — 20 Signings — 1 Credential
A>...
A>New certificates will receive 30-days free of eSigner cloud signing. After the first 30 days, your monthly or annual subscription fees will be applied.
A>Первый месяц бесплатно, а за оставшиеся 11 месяцев $220.
A>Т.е. хардварный токен окупится чуть больше чем за год.
A>Или я чего-то не поинмаю?
Мой куркулятор не понимает ваших аргументов (220\400 и дальше...):
Здравствуйте, Пересичный Шароварщик, Вы писали:
ПШ>Получается тоже самое, но с +1 сущностью в виде AKV и наличием премиальной подписки.
В принципе мелкомягкие свое Azure Code Signing копают. Только как-то вяло, я так и не смог понять текущий статус. В нормальном портале (azure) пока точно нифига нет того что показывается на видео:
Здравствуйте, Пересичный Шароварщик, Вы писали:
ПШ>Получается тоже самое, но с +1 сущностью в виде AKV и наличием премиальной подписки.
Не +1, а мы меняем GlobalSign или, в вашем случае, облако SSL.com на облако Azure. Но в целом да, задействована +1 сущность.
Для работы AzureSignTool не нужны OTP, не нужно загружать файл. Всё работает как старое доброе signtool.exe — всё из командной строки без ручного ввода.
ПШ>Плюсы этого решения мне неочевидны.
Плюс в цене: 10 тыс. трансакций в месяц бесплатно, сверх — по 3 цента за 10 тыс. трансакций. Подпись одного файла — это от 3 до 7 трансакций. SSL.com хочет $20 за 20 подписей в месяц — подписываю сколько хочу тут уже не прокатит.
Здравствуйте, Пересичный Шароварщик, Вы писали:
ПШ>Мой куркулятор не понимает ваших аргументов (220\400 и дальше...):
Ну я рассматривал на будущее GlobalSign (потому что не начали банить по цвету паспорта как дебилы, ну и есть встроенная интеграция с Azure, сейчас 280/1yr 195/3yr)
ну или что там будет самое дешевое (Certum или вот теперь знаю SSL.com) но они какие-то мутные imho.
Эх, а ведь когда-то был StartSSL за 30 в год, и комодо в те времена стоил не 270 а 70
A>>Первый месяц бесплатно, а за оставшиеся 11 месяцев $220. A>>Т.е. хардварный токен окупится чуть больше чем за год. ПШ>Мой куркулятор не понимает ваших аргументов (220\400 и дальше...): ПШ>https://sectigostore.com ПШ>1 year $443.50 ПШ>3 years $788.35
По твоей же ссылке на ssl.com сертификат на три года стоит $328.95.
К нему нужно добавить:
ИЛИ ежемесячную плату за eSigner начиная со второго месяца 11 + 12 + 12 = 35 месяцев по минимально $15 = $525 за три года.