Pull to refresh

Бесплатный Code signing для Open Source от Certum

Reading time3 min
Views29K
Запустив сегодня программу, описанную в статье, я увидел следующее предупреждение:


Бросается в глаза необычный префикс, Open source developer. Кроме того, несколько дней назад я уже видел точно такой же префикс, с другим именем. Напрашивается вывод, что, скорее всего, существует какая-то программа выдачи подобных сертификатов.

Несложный поиск показал следующее:


Как известно, пренебрегать безопасностью не стоит. (Если кто не в курсе: цифровая подпись файла защищает его от несанкционированных изменений. Сертификат удостоверяет, что автор подписанного файла — это вы, и никто другой.)
В современном мире практически невозможно встретить программу от крупного вендора без цифровой подписи. Все больше моих знакомых начинает обращать внимание на наличие ЦП у запускаемой или устанавливаемой программы, благодаря тому, что Windows выводит эту информацию (см. КДПВ).

На Хабре затрагивали тему подписывания кода несколько раз: общий обзор, советы по упрощению процедуры. Не так давно рассматривался вариант от StartSSL, тем не менее, требующий подтверждения личности class 2 (в терминах StartSSL), уже являющейся платной (в отличие от бесплатной class 1 для доменов).

Сумма в 60-500 долларов — не деньги для хоть сколько-нибудь крупной компании. Но как быть в случае с Open Source? Зачастую подобные проекты (если речь не идет об именах, которые у всех на слуху) не имеют достаточного финансирования либо разрабатываются исключительно на энтузиазме и других нематериальных ценностях.

Для таких случаев можно воспользоваться предложением от польской компании Certum:



Для этого необходимо зарегистрироваться (форма доступна также на русском языке) и отослать на email следующие документы:

  • Копия ID карты / паспорта / водительского удостоверения и пр, с указанием даты на копии, пометкой „I hereby confirm compliance with the original”, датой и личной подписью (подробнее — на сайте).
  • Адрес страницы Open Source продукта. Компания предупреждает, что проверка производится на основе общедоступной информации, поэтому проект должен быть представлен в сети.


Как видим, процедура достаточно простая и не занимает много времени (по заявлениям компании — до 24 часов).

Для сертификатов заявляется следующее (перевел только существенные пункты, полную версию см. на сайте):

  • Упрощенная процедура идентификации личности
  • Соответствие WebTrustSM/TM
  • Корневой сертификат CERTUM входит в список доверенных во всех популярных браузерах и продуктах Microsoft
  • Выдача в течение 24 часов после проверки
  • Хэш SHA1 (на 04.11.2014). Скорее всего, в ближайшем будущем будет предлагаться SHA2.
  • Подпись для расширений .docm, xlsm, .pptm, .xpi, .jar, .war, .ear, exe, .dll, .ocx, .cab, .msi.
  • Бесплатные отзыв или перевыпуск
  • Возможность хранения ключа на smart card
  • Бесплатный time stamp
  • Possible internal and external signatures creation
  • Среди поддерживаемых продуктов: MS Office 2000+, ToolSign.sh и openSSL for UNIX/Linux, Firefox, Key Manager, Jarsigner and verifier из Java JDK 1.5+, SignTool, SignCode, Visual Studio Express
  • Поддержка certificate revocation list (CRL) и Online Certificate Status Protocol (OCSP)
  • Срок выдачи: 1 год
  • Техподдержка 24h
  • Рекомендуемая длина ключа 2048 – 4096 бит, минимальная: RSA/DSA — 2048 бит, EC — 571 бит (NIST K-571 и NIST B-571).


Похоже, что безопасность становится трендом, и появляется все больше некоммерческих предложений в разных сферах. Интересно, что нам предложат следующим?

UPD: сертификат перестал быть бесплатным, текущая стоимость — €14.00 / €17.22 (пока не ясно, на какой срок выдается сертификат)
Тем не менее, это все равно ниже, чем у ближайшего конкурента — StartSSL ($60)
Only registered users can participate in poll. Log in, please.
Вы — разработчик Open Source (просьба к другим людям не голосовать). У вас есть цифровая подпись для сборок?
2.06% да, это крупный проект, я к подписыванию отношения не имею7
5.88% да, это мой личный проект, покупал коммерческий сертификат20
35.88% нет, но теперь появится122
35.29% нет, не планирую120
20.88% проект предоставляется в исходных кодах (интерпретируемый язык)71
340 users voted. 614 users abstained.
Only registered users can participate in poll. Log in, please.
Вы (голосование для всех):
44.46% разработчик, не участвую в Open Source397
36.28% разработчик, участвую в Open Source324
19.26% не являюсь разработчиком172
893 users voted. 199 users abstained.
Tags:
Hubs:
+27
Comments19

Articles