Почему такие разные цены на Сертификат для подписи кода?
От: rp5  
Дата: 15.09.19 18:04
Оценка:
Как вы думаете, почему так сильно цены различаются на сертификаты для подписи кода?
Жадность компании?
Наличие корневого сертификата по умолчанию в Windows?
Ответственность перед получателем сертификата?

Например, если смотреть цену на простой сертификат на 1 год:
Sectigo (Comodo) — от 70 до 167 USD
Digicert — от 74 до 474 USD (совсем забавная ситуация с ценой)
Global Sign — 289 USD
Symantec — от 99 до 699 USD (раньше они продавали за 99 USD и продлевают по этой же цене)
Re: Почему такие разные цены на Сертификат для подписи кода?
От: velkin Удмуртия https://kisa.biz
Дата: 15.09.19 19:44
Оценка: 1 (1) +4 -1
Здравствуйте, rp5, Вы писали:

rp5>Как вы думаете, почему так сильно цены различаются на сертификаты для подписи кода?

rp5>Жадность компании?
rp5>Наличие корневого сертификата по умолчанию в Windows?
rp5>Ответственность перед получателем сертификата?

Принудительные сертификаты это надувательство, а те кто так делают мошенники. О чём тут говорить и так всё понятно.
Re[2]: Почему такие разные цены на Сертификат для подписи кода?
От: rp5  
Дата: 16.09.19 04:46
Оценка:
Здравствуйте, velkin, Вы писали:

V>Здравствуйте, rp5, Вы писали:


rp5>>Как вы думаете, почему так сильно цены различаются на сертификаты для подписи кода?

rp5>>Жадность компании?
rp5>>Наличие корневого сертификата по умолчанию в Windows?
rp5>>Ответственность перед получателем сертификата?

V>Принудительные сертификаты это надувательство, а те кто так делают мошенники. О чём тут говорить и так всё понятно.


Так самое обидное, что без сертификата моя программа работать не будет. А если его еще и отзовут, как это делал недавно Sectigo, то это будет пи3дец вселенского масштаба.
Re: Почему такие разные цены на Сертификат для подписи кода?
От: CRT  
Дата: 16.09.19 08:57
Оценка:
Здравствуйте, rp5, Вы писали:

rp5>Например, если смотреть цену на простой сертификат на 1 год:

rp5>Sectigo (Comodo) — от 70 до 167 USD
rp5>Digicert — от 74 до 474 USD (совсем забавная ситуация с ценой)
rp5>Global Sign — 289 USD
rp5>Symantec — от 99 до 699 USD (раньше они продавали за 99 USD и продлевают по этой же цене)

неужели так мало в мире поставщиков сертификатов?

Я еще знаю Certum
https://en.sklep.certum.pl/data-safety/code-signing-certificates/standard-code-signing.html
Но что меня там смущает, они пишут о каком-то ридере и криптографической карте. Зачем это нужно? У стартссл ничего подобного не было.

Какие еще есть фирмы поставщики сертификатов (не перепродавцы)?
Re[2]: Почему такие разные цены на Сертификат для подписи кода?
От: rp5  
Дата: 16.09.19 09:30
Оценка:
Здравствуйте, CRT, Вы писали:

CRT>неужели так мало в мире поставщиков сертификатов?


CRT>Я еще знаю Certum

CRT>https://en.sklep.certum.pl/data-safety/code-signing-certificates/standard-code-signing.html
CRT>Но что меня там смущает, они пишут о каком-то ридере и криптографической карте. Зачем это нужно? У стартссл ничего подобного не было.

CRT>Какие еще есть фирмы поставщики сертификатов (не перепродавцы)?


Еще есть Entrust, Thawte и GoDaddy.
Меня еще очень сильно смущает, что многие из них, включая самый популярный Sectigo не имеют в Windows 7 корневого сертификата SHA256. А генерируют сейчас только SHA256 сертификат. Как результат: если нет доступа в интернет, то программа не определяется, что она подписана, и отказывается работать.

Symantec сейчас выдает сертификаты DigiCert. Почему, для чего? Раньше давали как Verisign — и это было замечательно.
Re: Почему такие разные цены на Сертификат для подписи кода?
От: mauzer_tim Верблюд  
Дата: 16.09.19 09:47
Оценка: 4 (1)
Здравствуйте, rp5, Вы писали:
rp5>Как вы думаете, почему так сильно цены различаются на сертификаты для подписи кода?
Обычная политика под названием "с паршивой овцы хоть шерсти клок". Всякие крупные товарищи купят по максимальной цене, а мелочь типа нас будет изворачиваться и искать подешевле. А так ничем они не отличаются, ну может кроме Комодо который с давних времен отличается непредсказуемостью.
Re[3]: Почему такие разные цены на Сертификат для подписи кода?
От: Victor Ivanidze Россия  
Дата: 16.09.19 12:26
Оценка:
rp5>Меня еще очень сильно смущает, что многие из них, включая самый популярный Sectigo не имеют в Windows 7 корневого сертификата SHA256. А генерируют сейчас только SHA256 сертификат. Как результат: если нет доступа в интернет, то программа не определяется, что она подписана, и отказывается работать.

Для моего code signing сертификата от Sectigo корневым является сертификат, выпущенный COMODO RSA Certification Authority для COMODO RSA Certification Authority. Если посмотреть Certification Path, то вы увидите там Sectigo (formerly COMODO CA). Так что это всё косметика — издержки ребрендинга.

Или я вас не понял?
Re[3]: Почему такие разные цены на Сертификат для подписи кода?
От: wantus  
Дата: 16.09.19 13:31
Оценка:
Здравствуйте, rp5, Вы писали:

rp5>Меня еще очень сильно смущает, что многие из них, включая самый популярный Sectigo не имеют в Windows 7 корневого сертификата SHA256. А генерируют сейчас только SHA256 сертификат. Как результат: если нет доступа в интернет, то программа не определяется, что она подписана, и отказывается работать.


У вас нетривиальное количество клиентов на W7 без Интернета?

Плюс они всегда могут руками проинсталлировать серт через right-click -> Properties -> Digital Signatures, если уж им так дорог их кактус.
Re[4]: Почему такие разные цены на Сертификат для подписи кода?
От: rp5  
Дата: 16.09.19 14:15
Оценка:
Здравствуйте, Victor Ivanidze, Вы писали:

rp5>>Меня еще очень сильно смущает, что многие из них, включая самый популярный Sectigo не имеют в Windows 7 корневого сертификата SHA256. А генерируют сейчас только SHA256 сертификат. Как результат: если нет доступа в интернет, то программа не определяется, что она подписана, и отказывается работать.


VI>Для моего code signing сертификата от Sectigo корневым является сертификат, выпущенный COMODO RSA Certification Authority для COMODO RSA Certification Authority. Если посмотреть Certification Path, то вы увидите там Sectigo (formerly COMODO CA). Так что это всё косметика — издержки ребрендинга.


VI>Или я вас не понял?


Описанные вами корневые сертификаты появляются только при проверке подписи через интернет, или если файл подписан SHA1. Но они сейчас не дают подпись SHA1. В голой системе, включая Windows 7, есть только AddTrustExternalCARoot. Срок действия, которого, заканчивается в мае 2020.
Re[4]: Почему такие разные цены на Сертификат для подписи кода?
От: rp5  
Дата: 16.09.19 14:21
Оценка:
Здравствуйте, wantus, Вы писали:

W>Здравствуйте, rp5, Вы писали:


rp5>>Меня еще очень сильно смущает, что многие из них, включая самый популярный Sectigo не имеют в Windows 7 корневого сертификата SHA256. А генерируют сейчас только SHA256 сертификат. Как результат: если нет доступа в интернет, то программа не определяется, что она подписана, и отказывается работать.


W>У вас нетривиальное количество клиентов на W7 без Интернета?


W>Плюс они всегда могут руками проинсталлировать серт через right-click -> Properties -> Digital Signatures, если уж им так дорог их кактус.


У меня есть корпоративные клиенты, у которых часто нет доступа в интернет. Они покупают с одного компа, а устанавливают на других.
Есть много вопросов, конечно. Нужно ли поддерживать таких клиентов, если в начале 2020 закончится поддержка Win7? Насколько часто будут появляться такие новые клиенты?

А что касается Sectigo, то этот их прецедент с отзывами сертификатов очень сильно пугает:
https://xakep.ru/2019/05/29/sectigo-responds/
Re[5]: Почему такие разные цены на Сертификат для подписи ко
От: Victor Ivanidze Россия  
Дата: 16.09.19 14:49
Оценка:
rp5>>>Меня еще очень сильно смущает, что многие из них, включая самый популярный Sectigo не имеют в Windows 7 корневого сертификата SHA256. А генерируют сейчас только SHA256 сертификат. Как результат: если нет доступа в интернет, то программа не определяется, что она подписана, и отказывается работать.

VI>>Для моего code signing сертификата от Sectigo корневым является сертификат, выпущенный COMODO RSA Certification Authority для COMODO RSA Certification Authority. Если посмотреть Certification Path, то вы увидите там Sectigo (formerly COMODO CA). Так что это всё косметика — издержки ребрендинга.


VI>>Или я вас не понял?


rp5>Описанные вами корневые сертификаты появляются только при проверке подписи через интернет, или если файл подписан SHA1. Но они сейчас не дают подпись SHA1. В голой системе, включая Windows 7, есть только AddTrustExternalCARoot. Срок действия, которого, заканчивается в мае 2020.


Давайте по порядку. Что значит выделенное? Я купил у Sectigo обычный code signing сертификат около месяца назад, и он позволяет использовать как SHA1, так и SHA256.
Отредактировано 16.09.2019 14:50 Victor Ivanidze . Предыдущая версия .
Re[6]: Почему такие разные цены на Сертификат для подписи ко
От: rp5  
Дата: 16.09.19 15:37
Оценка:
Здравствуйте, Victor Ivanidze, Вы писали:


rp5>>>>Меня еще очень сильно смущает, что многие из них, включая самый популярный Sectigo не имеют в Windows 7 корневого сертификата SHA256. А генерируют сейчас только SHA256 сертификат. Как результат: если нет доступа в интернет, то программа не определяется, что она подписана, и отказывается работать.


VI>>>Для моего code signing сертификата от Sectigo корневым является сертификат, выпущенный COMODO RSA Certification Authority для COMODO RSA Certification Authority. Если посмотреть Certification Path, то вы увидите там Sectigo (formerly COMODO CA). Так что это всё косметика — издержки ребрендинга.


VI>>>Или я вас не понял?


rp5>>Описанные вами корневые сертификаты появляются только при проверке подписи через интернет, или если файл подписан SHA1. Но они сейчас не дают подпись SHA1. В голой системе, включая Windows 7, есть только AddTrustExternalCARoot. Срок действия, которого, заканчивается в мае 2020.


VI>Давайте по порядку. Что значит выделенное? Я купил у Sectigo обычный code signing сертификат около месяца назад, и он позволяет использовать как SHA1, так и SHA256.


Подписывать он позволяет, да. Но в этом случае идет такая цепочка: SHA256->SHA256->SHA1. Посмотрите в разделе "Путь сертификации" в "Просмотре сертификата" после подписывания. И вот этого SHA256 посередине уже нет в системе. Примерно так.

А нужно SHA1->SHA1->SHA1.

Вот так это выглядит у GlobalSign:
https://support.globalsign.com/customer/portal/articles/1251626

А вот что пишет Sectigo:
https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFKE

Якобы они впереди планеты всей, ога.

После моих экспериментов я выяснил, что делать двойную подпись с сертификатом Sectigo нет никакого смысла.
Re[5]: Почему такие разные цены на Сертификат для подписи кода?
От: Somescout  
Дата: 16.09.19 16:48
Оценка:
Здравствуйте, rp5, Вы писали:

rp5>Описанные вами корневые сертификаты появляются только при проверке подписи через интернет, или если файл подписан SHA1. Но они сейчас не дают подпись SHA1. В голой системе, включая Windows 7, есть только AddTrustExternalCARoot. Срок действия, которого, заканчивается в мае 2020.


А разве это имеет значение если подпись сделана с таймштампом?
ARI ARI ARI... Arrivederci!
Re[6]: Почему такие разные цены на Сертификат для подписи кода?
От: rp5  
Дата: 16.09.19 17:11
Оценка:
Здравствуйте, Somescout, Вы писали:

S>Здравствуйте, rp5, Вы писали:


rp5>>Описанные вами корневые сертификаты появляются только при проверке подписи через интернет, или если файл подписан SHA1. Но они сейчас не дают подпись SHA1. В голой системе, включая Windows 7, есть только AddTrustExternalCARoot. Срок действия, которого, заканчивается в мае 2020.


S>А разве это имеет значение если подпись сделана с таймштампом?


А вот это мне бы самому хотелось понять. Знаю, что подпись файла остается валидной, если сделана с таймштампом. Но она ссылается в итоге на корневой сертификат. Всегда пользовался Verisign, а у них срок действия заканчивается в 2036 году. Поэтому не напрягался совсем. А вот что будет с Sectigo?

Если файл принести на систему на флешке и запустить, то даже при наличии интернета не сразу определяется, что файл подписан. 100% работает только при скачивании файла из интернета.
Re[7]: Почему такие разные цены на Сертификат для подписи ко
От: Somescout  
Дата: 16.09.19 17:43
Оценка: 6 (1)
Здравствуйте, rp5, Вы писали:

S>>А разве это имеет значение если подпись сделана с таймштампом?


rp5>А вот это мне бы самому хотелось понять. Знаю, что подпись файла остается валидной, если сделана с таймштампом. Но она ссылается в итоге на корневой сертификат. Всегда пользовался Verisign, а у них срок действия заканчивается в 2036 году. Поэтому не напрягался совсем. А вот что будет с Sectigo?


Я пользовался внутренним CS-сертификатом, без таймштампа при истечении срока у сертификата подпись отваливалась. После добавления таймштампа подпись оставалась валидной даже после истечения срока действия сертификата.

Тут (https://serverfault.com/questions/878919/what-happens-to-code-sign-certificates-when-when-root-ca-expires) утверждают что это относится ко всей цепочке сертификации.

rp5>Если файл принести на систему на флешке и запустить, то даже при наличии интернета не сразу определяется, что файл подписан. 100% работает только при скачивании файла из интернета.


Обычно делается попытка скачать CRL, и именно на это тратится время. Но вроде как кроме небольшой паузы это ни на что не должно повлиять.

ЗЫ. Тут (https://www.sysadmins.lv/blog-en/digital-signatures.aspx , раздел "Digital signature lifecycle table") довольно подробная таблица по этому вопросу.
ARI ARI ARI... Arrivederci!
Отредактировано 16.09.2019 17:45 Somescout . Предыдущая версия .
Re[8]: Почему такие разные цены на Сертификат для подписи ко
От: rp5  
Дата: 17.09.19 04:09
Оценка:
Здравствуйте, Somescout, Вы писали:

rp5>>Если файл принести на систему на флешке и запустить, то даже при наличии интернета не сразу определяется, что файл подписан. 100% работает только при скачивании файла из интернета.


S>Обычно делается попытка скачать CRL, и именно на это тратится время. Но вроде как кроме небольшой паузы это ни на что не должно повлиять.


Может у меня руки кривые, но я несколько раз провел эксперимент на Win7x32 и Win7x64 в VirtualBox. При простом запуске не определяется подпись совсем, даже с наличием быстрого интернета. Если посмотреть в свойствах файла подпись, только тогда она начинает определятся. И при этом пауза для проверки очень даже большая 30-40 секунд. Это я с новым сертификатом Sectigo экспериментирую.

PS. Надеюсь, что действительно подписи не протухнут. А то это было бы очень глупо.
Re[2]: Почему такие разные цены на Сертификат для подписи кода?
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 17.09.19 09:08
Оценка:
Здравствуйте, velkin, Вы писали:

V>Принудительные сертификаты это надувательство, а те кто так делают мошенники.


Тогда получится, что и принудительные экзамены при получении водительского удостоверения, и принудительная сертификация товаров, и даже принудительное получение паспортов — тоже надувательство, и все, кто к этому принуждает — тоже мошенники.

Сама по себе идея с сертификатами вполне себе хороша и правильна — проблемы лишь в том, что цены на них (как и на многие виды обязательной государственной сертификации) многократно завышены, а в этой сфере работает достаточное количество как просто нечистоплотных игроков, так и откровенных жуликов.
Re[3]: Почему такие разные цены на Сертификат для подписи кода?
От: Tinman  
Дата: 17.09.19 12:18
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ> проблемы лишь в том, что цены на них (как и на многие виды обязательной государственной сертификации) многократно завышены, а в этой сфере работает достаточное количество как просто нечистоплотных игроков, так и откровенных жуликов.


что уже доказывает, что сама по себе идея с сертификатами не вполне хороша и правильна

„Почти всякое зло творится под ложным предлогом добра.“ (с)
Мудрого человека невозможно оскорбить, потому что правда – это не оскорбление, а ложь не стоит того, чтобы обращать на нее внимания.
Re[4]: Почему такие разные цены на Сертификат для подписи кода?
От: Евгений Музыченко Франция https://software.muzychenko.net/ru
Дата: 17.09.19 14:15
Оценка:
Здравствуйте, Tinman, Вы писали:

T>что уже доказывает, что сама по себе идея с сертификатами не вполне хороша и правильна


А Вы можете предложить идею, которая была бы хороша и правильна даже не вполне, а хотя бы более, чем с сертификатами?
Re[5]: Почему такие разные цены на Сертификат для подписи кода?
От: Tinman  
Дата: 17.09.19 16:40
Оценка:
Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>А Вы можете предложить идею, которая была бы хороша и правильна даже не вполне, а хотя бы более, чем с сертификатами?


Зачем? И без сертификатов все работало.
Это я все к тому, что никто же не признается прямо, что вся эта канитель нужна только для выкачивания легких денег.
А благовидный предлог всегда можно изобрести. Как сказал один мыслитель: "Оправдания они как дырка в заднице, есть у каждого".
Мудрого человека невозможно оскорбить, потому что правда – это не оскорбление, а ложь не стоит того, чтобы обращать на нее внимания.
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.