Как стать автором
Обновить

Комментарии 38

Я тоже сначала получил комодовский. Но потом выяснилось, что он не может подписывать код для режима ядра (например драйвера .sys) и пришлось заморочиться получением сертификата у другого спекулянта. Их, кстати, для режима ядра очень мало.
Сурово. Получается, что особо доверять наличию сертификата у запускаемого приложения не стоит. Да и в принципе, что можно сделать в том случае, если сертификатом был подписан троян. Подать в суд в компанию, расположенную в другой стране? Написать сертификационному центру и они отзовут сертификат?

В общем, до сих пор удивляюсь, почему Microsoft не сделает нормальный App Store для обычных приложений, а не только плиточных.
Центры сертификации ответственны за верификацию апликантов и следуют своим четким верификационным процедурам. Почти каждый платный сертификат имеет определенную денежную гарантию (code signing сертификаты от Комодо имеют гарантию $50000), и, в том случае если конечный юзер, пользующийся ресурсом или софтом с трастед сертификатом, понес финансовые потери, центр сертификации предоставляет компенсацию.
С другой стороны, это относится только к финансовым транзакциям. Как обстоит дело с хищением персональной информации до конца непонятно. Случаи, когда выплачивается компенсация или чрезвычайно редки, или совсем не афишируются.
В целом, наличие сертификата это всё же плюс для приложения, а доверять этому приложению или нет — следует расценивать по другим критериям.
Можете объяснить, в чём плюс для приложения? Про доверие, это я написал с точки зрения рядового пользователя. Ведь ОС при запуске установщика программы подаёт наличие сертификата как типа «мы проверили это приложение».
Перед запуском нужно ведь программу скачать?
Smartscreen и другие облачные защитники могут не позволить этого сделать простому пользователю а это потеря потенциальных клиентов.

Ну да, верно.
Спасибо, очень интересный ответ. Никогда не задумывался что сертификаты имеют денежную гарантию. Получается, что это продажа такой цифрового страхового полиса, а не как ниже пишут «воздуха».

В случае с Comodo и номером DUNS, допустим 10 исследователей по безопасности и 3 юриста с Хабрахабра объединяются, подготавливают все юридические документы и вредоносную программу для воровства денег, получают 10 сертификатов на 10 фирм из головы, запускают у друг друга эту программу. То получается, можно с Comodo взять $650 000? А раскрутив эту ситуацию, Comodo вообще вылетит из бизнеса.
Скорее вас повяжут за мошенничество. Продавцы воздуха имеют хорошую моржу, и наверно больше возможностей для решения такого рода проблем.
Спасибо и за ваш ответ тоже, однако он не несёт никакой новой или неожиданной информации, которой не специалист не мог бы и сам предположить.
Comodo перестал продавать сразу на 5 лет и оставил максимум 3 года?
Все перестали:
March 15, no longer offers 4 or 5-year certificates
On March 1st, 2015, GGSSL will ends selling SSL certificate with validity periods of 4 and 5 years according to new guidelines by the Certificate Authority/Browser (CA/B) Forum, the governing body of the SSL industry. This update will affect all SSL certificates in the industry, including the entire product catalogs of Symantec, Comodo, Thawte, GeoTrust, and RapidSSL.

Please note that any active 4 or 5-year certificate that are reissued after the March 1st, 2015 deadline will automatically be truncated to the new maximum duration permissible, which is 39 months. Ultimately, this is good news for the SSL industry, as certificates with shorter lifespans make security updates much easier and more streamlined.
Это не самодеятельность Комодо — а инструкция CA/B Forum. Начиная с 1го апреля 2015го года сертификаты могут быть валидны максимум в течении 39ти месяцев.

Второй пункт в списке: cabforum.org/faq-about-the-baseline-requirements

В спойлере комментарием выше про то же.

Да, вижу, просто мой коммент прошел модерацию как раз после предыдущего)
Попробуйте в следующий раз воспользоваться другим центром сертификации. В комоде действительно очень сложный процесс верификации в отличие от остальных.
А какие еще есть центры с соизмеримой ценой?
Возможно https://startssl.com/
Только я смог подписать *.exe, все другие виды файлов отказывались.
$ 59.90/Y — Class 2 Code Signing Certificate
Другие виды файлов — это какие? .dll даже нельзя подписать? покажите как ругалась signtool.exe?
Прошу прощения за клевету, подписываются:
*.exe
*.sys
*.dll
*.cat
*.msi
*.ocx

Ошибка «SignTool Error: The specified algorithm cannot be used or is invalid.» при:
*.vbs
*.wsf

Ошибка «SignTool Error: An unexpected internal error has occurred.
Error information: „Error: SignerSign() failed.“ (-2147024885/0x8007000b)» при:
*.stl
*.cab

Вызывал так:
signtool.exe sign /f "D:\cert\2017.pfx" /p "passw" /fd sha256 /tr http://timestamp.geotrust.com/tsa /v "%1"
И опять я наврал :(

*.vbs
*.wsf
подписываются, в windows 7 и ниже — только sha1, если windows 8 и выше, то sha256, но не всегда валидны.

Так же нашёл упоминание что двойная подпись sha1 и sha256 возможна только на windows 8.0 и выше, windows 7 и ниже возвращают ошибку и подписывают только одним.
Под Win 7 sha256 100% работает (но нужен свежий signtool.exe)
делаю вот так:
«C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe» sign /v /d «xxx» /du «http://xxx.com» /fd sha1 /t http://timestamp.verisign.com/scripts/timstamp.dll %1
«C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe» sign /as /v /d «xxx» /du «http://xxx.com» /fd sha256 /tr http://timestamp.comodoca.com/rfc3161 /td sha256 %1
Правда ваша.
Решил разобраться, вспомнил что у меня была ошибка, если рядом были .manifest файлы.
Вот сделал портативную «сборку» https://yadi.sk/d/Amykgea1tWTy9
Ошибки перестали появляться, после того, как зарегистрировал все dll внутри папки (файл reg_dll.cmd).
И после этого подписываться стали multisign (обе подписи, sha1 + sha256).

Спасибо что утвердительно сказали о такой возможности.
StartCom точно не требовали нотариуса в 2013 году.
После персональной верификации (паспорт, счёт, звонок) для компании потребовалось свидетельство с выпиской из ЕГРЮЛ, заявление на бланке и звонок гендиру.
Скажите, пожалуйста, а у них действительно появилась и работает поддержка Time-Stamping для всех Code Signing сертификатов?
В интернете встречал упоминания, что у них с этим были проблемы (как минимум для уровня Class 2).
Для class2 работает.
https://www.startssl.com/Support?v=25#61
Переводя на русский — сами отлично знают, что спекулируют воздухом, да за приличные деньги, и сами же не могут сделать адекватно для людей. История про «сертификаты на 90 дней» (tm) на этом фоне выглядит как декорация.

Что обидно, они от этого не закроются, максимум немного меньше заработают в следующий раз (когда вы уйдете к другим). Всегда найдутся люди, которые либо продлят что-то через них, либо новые клиенты, которые поведутся на «репутацию» и «давность на рынке».
Comodo демпенгует через реселлеров — на многие вещи цены ниже в разы, если не на порядок.

Просто нужно запомнить, что это юридическая услуга и относиться к ней соответственно. Регистрировать компанию в AppStore тоже долго и муторно, но все с этим смирились из-за отсутствия альтернатив.
Чем сложнее со стороны выглядит их работа, тем большую сумму они могут за неё требовать.

А «мелким шрифтом» было что-то полезное написано? Если бы прочитали, то граблей на пути было бы меньше?
да =) как-раз про face-to-face верификацию и было написано
Не считаю для себя нужным платить продавцам воздуха на данном этапе. Тем более, что с Comodo был печальный опыт получить от них соответствующий сертификат. Уровень идиотизма настолько высок, что правила игры меняются в процессе получения заветного сертификата. Но это было в 2015 году.

У меня есть коммерческое приложение, которое я продаю через интернет. Оно все еще не подписано цифровой подписью и проблема возникла только раз, когда Chrome отказывался запускать инсталлятор после загрузки с сайта, но и это решилось обращение в техническую поддержку Google.
Валидация в Comodo действительно процесс нелегкий в виду их низкоуровнего индийского саппорта.

Но всё же, не могли бы вы уточнить какие «правила игры» менялись в вашем случае?
не знаю по поводу индийского саппорта. Имена операторов в онлайн-чате были Randy и Carrol. Правда это не повлияло на их степень тупизма и компетентности :)
В чатике Randy, а по ту сторону монитора Субхаршан Равачандран из города Ченнаи :D
Друзья!

Очень печально, что в Интернете все еще встречаются компании, которые не удосуживаются все объяснить клиенту по заказу, и тут даже Comodo не причем.

Не знаем актуально или нет, но попробуем поделиться некоторыми очень интересными особенностями :)
  1. Первое, и самое важное, тип компании на которую хотите получить сертификат разработчика ПО.
    • Самые простые требования для ООО, АО, ЗАО. Существование компании проверят по ИНН номеру, а проверку номера телефона произведут через желтые страницы yell.ru (список сайтов для других стран тут: numberway.com), и DUNS не потребуется. Нюансы, если компания младше 3-х лет, то иногда могут попросить поход к нотариусу, но об этом чуть позже.
    • Физические лица и ИП (Индивидуальные предприниматели), это всегда сложно, как было сказано в статье автора, будут нужны и сканы паспорта и счет за коммунальные чтобы подтвердить адрес. Поход к нотариусу будет нужен в 90% случаев.

  2. Второе, это нотариус, и тут есть одна маленькая деталь, о которой все молчат, а точнее не знают. Comodo, не просит заверять ТЕКСТ документа, им лишь нужно чтобы нотариус заверил подпись человека. Иными словами, заверяют что именно Вася Петров подписал эту бумагу, а что в этой бумаге, это никого не волнует. На практике именно этот нюанс мешает выдаче сертификата, ибо нотариусы как огня боятся заверять данные.
  3. Процесс звонка. Для всех заказов потребуется проверка номере телефона, однако, это сертификат с проверкой компании, именно поэтому проверку будет осуществлять робот, а не живой человек как на заказах сертификатов с зеленой строкой. Так вот робот, может от звонить и по-русски, а это сильно упрощает задачу для тех кто не знает английского
  4. Возврат средств — серьезная компания всегда вернет деньги в течение 30-дней, и снова нюанс, всегда уточняйте с какого момента считать 30-дней, с момента заказа, или с момента выдачи сертификта. Поясню, деньги должны возвращаться в течение 30-дней с момента выдачи сертификата (!), а если не выдан, то вообще всегда.


Будем рады помочь с консультацией, даже если заказ сделан не через нас :P
Дополнение:

Офшоры — Забудьте в 99% случаев. Проблема лишь в одном, владельца компании попросят дойти до нотариуса той страны, где у вас офшор, а так как вас там нет, то увы! Исключением являеися ситуация, когда вы купили офшор с местным представителем, тогда он сможет это сделать за вас, однако это не дешево. Услуга нотариуса будет стоить не менее 100 у.е., услуга представителя еще больше.
Для ИП никакой нотариус не нужен — comodo достаточно DUNS
Да, но регистрация в DUNS сейчас не бесплатна, дешевле к нотариусу…
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.