Как я получал сертификат Code Signing от Comodo

Решил поделиться своим нелегким опытом получения сертификата для подписи приложений на Windows.

Задался как-то раз я этим вопросом, дабы увеличить доверие потенциальных клиентов к своим программам. Порылся в интернете, и нашел для себя более-менее приемлемую по ценам компанию Comodo, сертификаты которой можно купить всего за 75$ на год. Почитал вскользь подводные камни, что де надо подавать заявку и получать сертификат на одном и том же компьютере, на одном и том же браузере, и прочее-прочее связанное уже именно с установкой и использованием сертификата. А про сам процесс получения почему-то почитать забыл.

Цену 75$ я нашел на Tucows, тогда как на российских и казахстанских сайтах предлагали порядка 110$ на год. Как всегда не прочитав, что там написано мелким шрифтом, бодро нажал кнопку купить, ввел карточные данные и оплатил заказ. После чего я получаю письмо на почту о том, что покупка совершена, мы вас поздравляем, вы такой молодец, но деньги мы вам в случае чего не вернем. То есть, если что, то останетесь вы без своих кровных. Ну ладно, подумал я, что тут может произойти такого.

В тот же день ко мне приходит письмо от Comodo — заказ подтвержден, начался процесс проверки моей компании, который может занять два рабочих дня. На следующий день снова письмо — так и так, мы не смогли собрать инфомацию о вашей компании в интернете. Пришлите нам какие-нибудь документы подтверждающие существование вашей компании. Я отправил отсканированный загранпаспорт, удостоверение личности и свидетельство ИП. На что мне приходит ответ (опять же на следующий день) — у вас индивидуальный заказ, поэтому вы должны пройти так называемую face-to-face проверку. А сразу, в первом письме, нельзя мне было это сказать?

Хорошо, прохожу по ссылке (кстати, кто хочет ознакомится, то вот ОНА) и скачиваю инструкцию к этой самой проверке. Проверка, на самом деле, может и не такая тяжелая, но повозиться придется.

Нужны нотариально заверенные копии:
1) водительских прав или паспорта;
2) любого финансового документа с вашим именем — выписка с банка за полгода, либо кредитная или дебетная карточка;
3) любой нефинансовый документ опять же с вашим именем — свидетельство о рождении, повестка в суд, или счета за коммунальные услуги;
4) заполненный шаблон заявления (скачивается по той же ссылке), где должна стоять ваша подпись, а также данные нотариуса, заполненные им собственноручно, его подпись и печать.

Вроде бы ничего сложного, и потому, взяв права, свидетельство о рождении и кредитную карточку я весело направился к нотариусу. Но там меня ждал неприятный сюрприз, видите ли нотариус — лицо подневольное и оказывается не имеет права на заверение подобного рода заявлений свободного формата. По крайней мере у нас так в Казахстане. Это таааааам заграницей они могут заверять что угодно, объяснила она мне, а мы тут можем только доверенности заверять, да документы с печатями. Чтобы хоть как-то оправдать свой приход к нотариусу, я все-таки сделал заверенные копии прав и свидетельства о рождении.

Дойдя до дома, я прикрепил копии, и объяснил ситуацию — мол так и так, наши нотариусы не могут заверять вашу бумажку, могу приложить копии чего угодно, хотите паспорт, хотите выписку, хотите дам адресную справку с нашего электронного правительства, где будет черным по белому написан мой адрес и телефон, давайте заверю что угодно. На что мне ответили довольно лаконично — либо face-to-face, либо предъявите DUNS — это международный номер организации на сайте dnb.com. Ответ снова прислали на следующий день, вообще на все письма они отвечали день, а то и два, никто там с тобой, как с дорогим и любимым клиентом не сюсюкается.

Я немного воспрял духом, потому как когда-то читал в интернете, что получить DUNS-номер не составляет труда. Перехожу на Dnb.com и пытаюсь зарегистрироваться, быстренько ввожу все свои данные, но дойдя до поля «Страна», нахожу, что ничего, кроме США выбрать там не могу. Другими словами, регистрация на самом сайте Dnb отпадает.

Я попытался поискать информацию в интернете, и зайдя на Dnb.ru, нашел одну очень неприятную новость для себя, а именно — " 1 сентября 2015 года процедура получения D-U-N-S® номера изменилась, D-U-N-S® номер больше не выдается бесплатно". И стоимость теперь составляет ни много ни мало чуть больше 12000 рублей. Тут я окончательно приуныл — никак не рассчитывал платить за сертификат такую цену.

Обзвонил несколько других нотариусов – все твердили одно и то же, не имеем права и все тут. Я ломал голову пару дней, что делать, уже думал нарисовать печать нотариуса в фотошопе (хотя я самый что ни на есть законопослушный гражданин). Но порывшись в интернете, наткнулся на пост, где говорилось, что даже если вы отправите документы в Comodo, они, в конечном счете, могут запросить лицензию нотариуса или даже позвонить ему лично.

Решил для себя, что уж лучше я верну свои 75$, докину 35 и куплю сертификат через одну из наших контор. Написал в Comodo, что хочу вернуть свои деньги, на что они мне ответили – да без проблем, уважаемый, обращайтесь в Tucows.com, вы ведь там оплачивали. На этом я совсем отчаялся, прошло уже больше 10 дней, а сертификат я не получил, доказать своего существования никак не могу, да еще и деньги возвращать не хотят.

Но следуя мудрой пословице про надежду, я опять начал гуглить про получение DUNS-номера, и, о чудо! Каким-то образом набрел на сайт Fedgov, где любой желающий может проверить информацию о своей компании. Если же ее там нет, то добавить совершенно бесплатно и легально! Не совсем веря в успех, я ввел свои данные, дело заняло всего 10 минут, после чего мне пришло письмо на почту, что запрос принят и будет обрабатываться в течение 7 дней. А еще через 2 часа на почту пришло уведомление об успешном присвоении DUNS-номера. Я зашел на сайт Dnb.com и к своей великой радости нашел-таки информацию о своей компании. Никаких подтверждающих документов, никаких копий, ничего совершенно.

Не откладывая в долгий ящик, отправил письмо в Comodo со своим номером. В ответ пришло письмо, где они просили меня изменить номер телефона и привести название компании в соответствие с Dnb.com. Я сделал это и отписался Comodo, те ответили, что все нормально, номер принят, ожидайте. Я, что на этом все – мои мытарства закончились.

Но, увы! Техподдержка молчала больше суток, а дальше выдала – извините, но номер телефона, который вы указали, не отражается на Dnb.com, просим вас указать ссылку с Dnb.com, где можно было бы найти телефонный номер. А на Dnb.com действительно ничего, кроме адреса, не отражается при поиске. Пришлось писать в поддержку Dnb.com, те в свою очередь, по традиции на следующий день, перенаправили меня на техподдержку Dnb.ru. Там девушка (спасибо ей огромное) объяснила, что на Dnb.com вообще не предусмотрено поле «Номер телефона», и лучше искать свой номер DUNS на Upik.de. Я нашел себя на этом сайте, и отправил ссылку с результатами поиска в Comodo.

Comodo напоследок организовали еще и проверку номера телефона. Прислали мне ссылку в письме, при переходе по которой я попал на страницу, где нужно нажать на кнопку «Callback». Тут же мне позвонили, и робот сообщил 6-значный пин-код, который мне пришлось ввести там же на странице. На этом все. Проверки закончились, и через 3 часа я получил ссылку на скачивание сертификата.

На весь процесс ушло две недели, плюс немного моих нервов. Поэтому прежде, чем покупать сертификат у Comodo, зарегистрируйте себя в Dun&Bradstreet. Во всем этом бедламе меня так и мучает вопрос – зачем? Зачем это все нужно Comodo, зачем такие заморочки делать для своих клиентов, если тут же, они просят номер DUNS, который можно получить за 10 минут без подтверждения чего-либо вообще? Я не смог усмотреть в этом ни капли логики.
Поделиться публикацией

Комментарии 38

    +3
    Я тоже сначала получил комодовский. Но потом выяснилось, что он не может подписывать код для режима ядра (например драйвера .sys) и пришлось заморочиться получением сертификата у другого спекулянта. Их, кстати, для режима ядра очень мало.
      0
      Сурово. Получается, что особо доверять наличию сертификата у запускаемого приложения не стоит. Да и в принципе, что можно сделать в том случае, если сертификатом был подписан троян. Подать в суд в компанию, расположенную в другой стране? Написать сертификационному центру и они отзовут сертификат?

      В общем, до сих пор удивляюсь, почему Microsoft не сделает нормальный App Store для обычных приложений, а не только плиточных.
        0
        Центры сертификации ответственны за верификацию апликантов и следуют своим четким верификационным процедурам. Почти каждый платный сертификат имеет определенную денежную гарантию (code signing сертификаты от Комодо имеют гарантию $50000), и, в том случае если конечный юзер, пользующийся ресурсом или софтом с трастед сертификатом, понес финансовые потери, центр сертификации предоставляет компенсацию.
        С другой стороны, это относится только к финансовым транзакциям. Как обстоит дело с хищением персональной информации до конца непонятно. Случаи, когда выплачивается компенсация или чрезвычайно редки, или совсем не афишируются.
          0
          В целом, наличие сертификата это всё же плюс для приложения, а доверять этому приложению или нет — следует расценивать по другим критериям.
            0
            Можете объяснить, в чём плюс для приложения? Про доверие, это я написал с точки зрения рядового пользователя. Ведь ОС при запуске установщика программы подаёт наличие сертификата как типа «мы проверили это приложение».
              0
              Перед запуском нужно ведь программу скачать?
              Smartscreen и другие облачные защитники могут не позволить этого сделать простому пользователю а это потеря потенциальных клиентов.

                0
                Ну да, верно.
            0
            Спасибо, очень интересный ответ. Никогда не задумывался что сертификаты имеют денежную гарантию. Получается, что это продажа такой цифрового страхового полиса, а не как ниже пишут «воздуха».

            В случае с Comodo и номером DUNS, допустим 10 исследователей по безопасности и 3 юриста с Хабрахабра объединяются, подготавливают все юридические документы и вредоносную программу для воровства денег, получают 10 сертификатов на 10 фирм из головы, запускают у друг друга эту программу. То получается, можно с Comodo взять $650 000? А раскрутив эту ситуацию, Comodo вообще вылетит из бизнеса.
              –1
              Скорее вас повяжут за мошенничество. Продавцы воздуха имеют хорошую моржу, и наверно больше возможностей для решения такого рода проблем.
                0
                Спасибо и за ваш ответ тоже, однако он не несёт никакой новой или неожиданной информации, которой не специалист не мог бы и сам предположить.
          0
          Comodo перестал продавать сразу на 5 лет и оставил максимум 3 года?
            +1
            Все перестали:
            March 15, no longer offers 4 or 5-year certificates
            On March 1st, 2015, GGSSL will ends selling SSL certificate with validity periods of 4 and 5 years according to new guidelines by the Certificate Authority/Browser (CA/B) Forum, the governing body of the SSL industry. This update will affect all SSL certificates in the industry, including the entire product catalogs of Symantec, Comodo, Thawte, GeoTrust, and RapidSSL.

            Please note that any active 4 or 5-year certificate that are reissued after the March 1st, 2015 deadline will automatically be truncated to the new maximum duration permissible, which is 39 months. Ultimately, this is good news for the SSL industry, as certificates with shorter lifespans make security updates much easier and more streamlined.
              +1
              Это не самодеятельность Комодо — а инструкция CA/B Forum. Начиная с 1го апреля 2015го года сертификаты могут быть валидны максимум в течении 39ти месяцев.

              Второй пункт в списке: cabforum.org/faq-about-the-baseline-requirements
                0

                В спойлере комментарием выше про то же.

                  0
                  Да, вижу, просто мой коммент прошел модерацию как раз после предыдущего)
              0
              Попробуйте в следующий раз воспользоваться другим центром сертификации. В комоде действительно очень сложный процесс верификации в отличие от остальных.
                0
                А какие еще есть центры с соизмеримой ценой?
                  0
                  Возможно https://startssl.com/
                  Только я смог подписать *.exe, все другие виды файлов отказывались.
                  $ 59.90/Y — Class 2 Code Signing Certificate
                    0
                    Другие виды файлов — это какие? .dll даже нельзя подписать? покажите как ругалась signtool.exe?
                      0
                      Прошу прощения за клевету, подписываются:
                      *.exe
                      *.sys
                      *.dll
                      *.cat
                      *.msi
                      *.ocx

                      Ошибка «SignTool Error: The specified algorithm cannot be used or is invalid.» при:
                      *.vbs
                      *.wsf

                      Ошибка «SignTool Error: An unexpected internal error has occurred.
                      Error information: „Error: SignerSign() failed.“ (-2147024885/0x8007000b)» при:
                      *.stl
                      *.cab

                      Вызывал так:
                      signtool.exe sign /f "D:\cert\2017.pfx" /p "passw" /fd sha256 /tr http://timestamp.geotrust.com/tsa /v "%1"
                        0
                        И опять я наврал :(

                        *.vbs
                        *.wsf
                        подписываются, в windows 7 и ниже — только sha1, если windows 8 и выше, то sha256, но не всегда валидны.

                        Так же нашёл упоминание что двойная подпись sha1 и sha256 возможна только на windows 8.0 и выше, windows 7 и ниже возвращают ошибку и подписывают только одним.
                          +1
                          Под Win 7 sha256 100% работает (но нужен свежий signtool.exe)
                          делаю вот так:
                          «C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe» sign /v /d «xxx» /du «http://xxx.com» /fd sha1 /t http://timestamp.verisign.com/scripts/timstamp.dll %1
                          «C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe» sign /as /v /d «xxx» /du «http://xxx.com» /fd sha256 /tr http://timestamp.comodoca.com/rfc3161 /td sha256 %1
                            0
                            Правда ваша.
                            Решил разобраться, вспомнил что у меня была ошибка, если рядом были .manifest файлы.
                            Вот сделал портативную «сборку» https://yadi.sk/d/Amykgea1tWTy9
                            Ошибки перестали появляться, после того, как зарегистрировал все dll внутри папки (файл reg_dll.cmd).
                            И после этого подписываться стали multisign (обе подписи, sha1 + sha256).

                            Спасибо что утвердительно сказали о такой возможности.
                      0
                      StartCom точно не требовали нотариуса в 2013 году.
                      После персональной верификации (паспорт, счёт, звонок) для компании потребовалось свидетельство с выпиской из ЕГРЮЛ, заявление на бланке и звонок гендиру.
                        0
                        Скажите, пожалуйста, а у них действительно появилась и работает поддержка Time-Stamping для всех Code Signing сертификатов?
                        В интернете встречал упоминания, что у них с этим были проблемы (как минимум для уровня Class 2).
                          0
                          Для class2 работает.
                          https://www.startssl.com/Support?v=25#61
                    0
                    Переводя на русский — сами отлично знают, что спекулируют воздухом, да за приличные деньги, и сами же не могут сделать адекватно для людей. История про «сертификаты на 90 дней» (tm) на этом фоне выглядит как декорация.

                    Что обидно, они от этого не закроются, максимум немного меньше заработают в следующий раз (когда вы уйдете к другим). Всегда найдутся люди, которые либо продлят что-то через них, либо новые клиенты, которые поведутся на «репутацию» и «давность на рынке».
                      +1
                      Comodo демпенгует через реселлеров — на многие вещи цены ниже в разы, если не на порядок.

                      Просто нужно запомнить, что это юридическая услуга и относиться к ней соответственно. Регистрировать компанию в AppStore тоже долго и муторно, но все с этим смирились из-за отсутствия альтернатив.
                      0
                      Чем сложнее со стороны выглядит их работа, тем большую сумму они могут за неё требовать.

                      А «мелким шрифтом» было что-то полезное написано? Если бы прочитали, то граблей на пути было бы меньше?
                        0
                        да =) как-раз про face-to-face верификацию и было написано
                        0
                        Не считаю для себя нужным платить продавцам воздуха на данном этапе. Тем более, что с Comodo был печальный опыт получить от них соответствующий сертификат. Уровень идиотизма настолько высок, что правила игры меняются в процессе получения заветного сертификата. Но это было в 2015 году.

                        У меня есть коммерческое приложение, которое я продаю через интернет. Оно все еще не подписано цифровой подписью и проблема возникла только раз, когда Chrome отказывался запускать инсталлятор после загрузки с сайта, но и это решилось обращение в техническую поддержку Google.
                          0
                          Валидация в Comodo действительно процесс нелегкий в виду их низкоуровнего индийского саппорта.

                          Но всё же, не могли бы вы уточнить какие «правила игры» менялись в вашем случае?
                            0
                            не знаю по поводу индийского саппорта. Имена операторов в онлайн-чате были Randy и Carrol. Правда это не повлияло на их степень тупизма и компетентности :)
                              0
                              В чатике Randy, а по ту сторону монитора Субхаршан Равачандран из города Ченнаи :D
                          +1
                          Друзья!

                          Очень печально, что в Интернете все еще встречаются компании, которые не удосуживаются все объяснить клиенту по заказу, и тут даже Comodo не причем.

                          Не знаем актуально или нет, но попробуем поделиться некоторыми очень интересными особенностями :)
                          1. Первое, и самое важное, тип компании на которую хотите получить сертификат разработчика ПО.
                            • Самые простые требования для ООО, АО, ЗАО. Существование компании проверят по ИНН номеру, а проверку номера телефона произведут через желтые страницы yell.ru (список сайтов для других стран тут: numberway.com), и DUNS не потребуется. Нюансы, если компания младше 3-х лет, то иногда могут попросить поход к нотариусу, но об этом чуть позже.
                            • Физические лица и ИП (Индивидуальные предприниматели), это всегда сложно, как было сказано в статье автора, будут нужны и сканы паспорта и счет за коммунальные чтобы подтвердить адрес. Поход к нотариусу будет нужен в 90% случаев.

                          2. Второе, это нотариус, и тут есть одна маленькая деталь, о которой все молчат, а точнее не знают. Comodo, не просит заверять ТЕКСТ документа, им лишь нужно чтобы нотариус заверил подпись человека. Иными словами, заверяют что именно Вася Петров подписал эту бумагу, а что в этой бумаге, это никого не волнует. На практике именно этот нюанс мешает выдаче сертификата, ибо нотариусы как огня боятся заверять данные.
                          3. Процесс звонка. Для всех заказов потребуется проверка номере телефона, однако, это сертификат с проверкой компании, именно поэтому проверку будет осуществлять робот, а не живой человек как на заказах сертификатов с зеленой строкой. Так вот робот, может от звонить и по-русски, а это сильно упрощает задачу для тех кто не знает английского
                          4. Возврат средств — серьезная компания всегда вернет деньги в течение 30-дней, и снова нюанс, всегда уточняйте с какого момента считать 30-дней, с момента заказа, или с момента выдачи сертификта. Поясню, деньги должны возвращаться в течение 30-дней с момента выдачи сертификата (!), а если не выдан, то вообще всегда.


                          Будем рады помочь с консультацией, даже если заказ сделан не через нас :P
                            +1
                            Дополнение:

                            Офшоры — Забудьте в 99% случаев. Проблема лишь в одном, владельца компании попросят дойти до нотариуса той страны, где у вас офшор, а так как вас там нет, то увы! Исключением являеися ситуация, когда вы купили офшор с местным представителем, тогда он сможет это сделать за вас, однако это не дешево. Услуга нотариуса будет стоить не менее 100 у.е., услуга представителя еще больше.
                              0
                              Для ИП никакой нотариус не нужен — comodo достаточно DUNS
                                0
                                Да, но регистрация в DUNS сейчас не бесплатна, дешевле к нотариусу…

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое