Açık kaynaklı projeler için kod imzalama sertifikası?


119

Uygulamalarımdan birini açık kaynak olarak yayınlamak ve kendi sertifikamla oluşturduğum ikili dosyaları dijital olarak imzalamak istiyorum. (Elbette, başka biri kodu indirebilir ve kendi sertifikasıyla kendileri oluşturabilir.) Bunu, herkesin bu yapının başkası tarafından değil, benim tarafımdan yapıldığını kontrol edebilmesi için yapmak istiyorum. Ayrıca, ziyaretçilerin bu projeye katkıda bulunabilmeleri için kendi hesaplarını güvenli bir şekilde oluşturabilmeleri için geçerli bir SSL sertifikasına sahip güvenli bir web sitesi oluşturmak istiyorum.

Kendinden imzalı bir sertifika oluşturabilirim, ancak bu seçeneği gerçekten sevmiyorum. Ya da Verisign'a birkaç yıl geçerli olacak sertifikaları almak için birkaç altın ödeyebilirim. Hazinem benim için değerli olduğu için bu seçeneği de sevmiyorum.

Peki başka seçenek var mı? Örneğin, daha düşük bir fiyata sertifika sunarak açık kaynaklı projeleri destekleyen bir sağlayıcı? Ücretsiz olmak zorunda değil, Verisign'dan çok daha ucuz olması gerekiyor ...

(Proje, Visual Studio 2008 ile C # ile oluşturulur . Ayrıca, ASP.NET'te SSL isteyen ek bir proje.)


Bu soru konuyla ilgili. Sorunu (yayınlama arzusu) ve ne yapıldığını (uygulama oluşturulmuş ancak imzalanmamış) açıklar. Öneriler istemez, yalnızca bir veya daha fazla ücretsiz veya düşük maliyetli sağlayıcının adını sorar. Site dışı bir kaynağı "bulan" yanıtlar ister, ancak birkaç seçenek olduğundan, fikir sahibi yanıtları veya istenmeyen postaları çekme olasılığı yüksek değildir.
Edward Brey

5
Bu soruyu neredeyse 8 yıldır sorduğumu belirtmek isterim. Bugün, halihazırda birkaç seçenek daha var, ancak güvenilirlik bir sorun haline geliyor. Ayrıca SSL ve web geliştirme için pek çok ücretsiz seçenek var, ancak kod imzalama sertifikaları hala az ...
Wim ten Brink

1
Ne yazık ki LetsEncrypt , kod imzalama sertifikalarını desteklemeyecektir . Orta 2018, bulabilirim en ucuz COMDO en olduğunu codesigncert anum başına 59 $ için. Hükümetler tüm vatandaşlara / deneklere ulusal kimlik olarak bir kod imzalama sertifikası
verseler

Yanıtlar:


9

CAcert'i deneyebilirsiniz . Bununla, diğer CAcert kullanıcıları tarafından sertifika alırsınız. CAcert itibara dayalı bir sisteme sahiptir, bu nedenle yeterince sık sertifika alırsanız sertifikanız geçerli sayılır.

CAcert'i hedef sistemde güvenilir bir yetkili olarak eklemeniz gerekebilir. Yürütülebilir dosyanın kendi kendine imzalanması yeterli bir seçenek olmalıdır, ancak genel sertifikayı sağlamanız gerekecektir. Bilinen bir otorite kullanmak dosyanın doğrulanmasına yardımcı olabilir, ancak bu durumda aşırı öldürme olduğunu düşünüyorum, kendi kendine imzalanan sertifikanızla birlikte dosyanın bir sağlama toplamı veya sha2 karması kullanın. CA olarak bir linux kutusu kurabilirsiniz, ancak genel sertifikanıza güvenmeleri gerekir.


48
CACert'in dezavantajı, varsayılan olarak ana tarayıcıların ( wiki.cacert.org/InclusionStatus ) hiçbirine dahil edilmemesidir , bu nedenle tipik kullanıcı deneyimi, kendinden imzalı bir sertifikadan daha iyi değildir.
Kohsuke Kawaguchi

6
Ayrıca, Windows yürütülebilir dosyalarını imzalamakla ilgileniyorsanız, CACert'in Windows Kök Sertifika Programı üyesi olan Sertifika Yetkilileri (CA) listesinde yer almadığını unutmayın ; Unizeto CERTUM ise
user377486

CAcert'i denedim. Bu resim özetliyor: imgur.com/a/rNYqBme
selbie


35

Açık kaynak geliştiriciler için Certum ücretsiz kod imzalama sertifikaları sağlar *

Sertifikayı talep ettiğinizde "şirket" alanına "açık kaynak geliştirici" girmeniz yeterlidir. Bu kadar.

Açık kaynak kod imzalama sertifikalarına bağlantı burada

[*] 2016'dan itibaren Açık Kaynak Kod İmzalama sertifikası artık ücretsiz olarak sunulmayacaktır. Artık yalnızca ücretli bir hizmettir.


2
Siteye girdiniz ve yalnızca SSL sertifikalarını görebiliyorsunuz, kod imzalama sertifikalarına derin bağlantı verebilir misiniz?
Frozenskys

3
Artık bunu teklif etmiyorlar.
Çad

3
AFAIK, ücretsiz Açık Kaynak geliştirici sertifikalarını sunmayı bıraktılar. Aksi takdirde bir bağlantıya gerçekten minnettar olurum.
reiniero

15
Görünüşe göre sertifikalar artık ücretsiz değil - açık kaynak kod imzalama referansı test sertifikaları sayfasından kaldırıldı ve artık ayrı bir ürün sayfası en.sklep.unizeto.pl/data-safety/code-signing-certificates/ … . 14 € 'da diğer sertifikalardan çok daha ucuzlar. Kayıt işlemi, ücretsiz oldukları zamanki gibi görünüyor.
Alex Warren

2
@quasoft bunlar SSL sertifikalarıdır.
Nathan Osman

27

Güncelleme: Artık ücretsiz değil, şimdi 105,78 € (19 Şubat 2017 itibarıyla). Zaten kripto donanımına sahipseniz maliyet daha azdır. FWIW, aşağıdaki önceki talimatlardır.


Birey olarak kendiniz için Certum / Unizeto'dan ücretsiz bir kod imzalama sertifikası alın , aşağıdaki adımları izleyin. Anahtar değişim mekanizmasını destekledikleri için Internet Explorer veya Safari kullanın.

  1. Test Kimliği ve Açık Kaynak Kod İmzalama sertifikalarına göz atın ve formu gönderin.

  2. Sertifika, Sertifikaları Etkinleştir altında görünecektir . Etkinleştir'i tıklayın .

  3. Aktivasyon sihirbazına gidin. İçin Örgütü girmek Açık Kaynak Geliştirme . İçin Kuruluş Birimi , girmek Yazılım Yayıncılık .

  4. Kimlik kanıtı isteyen bir e-posta alacaksınız. Açık kaynak projesine bir bağlantı ve ehliyetinizin bir resmini (veya kabul edilen başka bir belgeyi) yanıtlayın. Gizliliğinizi korumak için yanıtı şifrelemelisiniz. * Şifreleme yöntemi e-posta istemcisine göre değişir. Outlook için, bir e-posta sertifikanız olduğundan ( ücretsiz olarak kullanılabilir ) emin olun ve şifrelemeyi açın .

  5. Yaklaşık bir gün içinde, sertifikanızı toplamak için bir bağlantı içeren bir e-posta almalısınız. İşlemi başlatmak için kullandığınız bilgisayar ve tarayıcıdan bağlantıyı açmanız gerekir.

* Certum'dan gelen doğrulama e-postası ccp@certum.plkanıtın gönderilmesini söylese de, Certum ayrıca info@certum.plşifreli e-posta gönderebileceğiniz yanıt adresine gönderilen ispatı da kabul eder .


İyi çalıştı, çok teşekkürler! 1 yıllık sürenin ardından sertifikayı ücretsiz olarak yenileyip yenilemediklerini biliyor musunuz? Yoksa bu sadece bir deneme süresi mi ve sonra ücretli bir sertifika mı oluyor?
Al-Khwarizmi

1
Yaklaşık 10 ay sonra, sertifikanızın süresinin dolduğunu hatırlatan bir posta alacaksınız. O postada yenileyebileceğinizden bahsediyorlar, ancak bu işe yaramadı (benim için 4 ay önce). Bir yıl önce yaptığım gibi yeni bir sertifika talep etmiş ve almıştım. Kısacası: her yıl yeni bir sertifika talep ediyorsunuz.
Martijn Stolk

Ülke açılır listesi artık Amerika Birleşik Devletleri'ni listelemiyor mu? 2013'te bir sertifika aldım, bu yüzden benim için çalışıyordu.
Warty

Bunu denedim. Şimdi 90 günlük bir sertifika. Ancak, "Anahtarları Oluştur" düğmesine tıklamak hiçbir şey yapmadığından ve Sonraki "Anahtar çifti oluştur" uyarısını attığından "Etkinleştir" adımını
geçemezsiniz

CSR yöntemi kalmış gibi görünüyor. CSR'nin donanımları tarafından oluşturulup oluşturulmadığını nasıl bilebilirler?
OCTAGRAM

22

2016 güncellemesi: StartCom , şüpheli koşullar altında WoSign tarafından satın alındı . StartCom / WoSign'a güvenmem. Aşağıdaki metni, StartCom'un 2015'in başlarına kadar ne kadar iyi olduğuna dair tarihsel bir not olarak düşünün .

Ben bir kod imzalama sertifikası var StartCom (startssl). Hizmetlerinden çok memnunum: Müşteri hizmetleri çok hızlı ve fiyatları çok uygun.

Kod imzalama sertifikasını alma

Bir kod imzalama sertifikası almak, 2. Sınıf Kimlik Doğrulamasını gerektirir . StartCom, tüm süreç boyunca size rehberlik eder (mükemmel yanıt oranları ile, deneyimime göre genellikle on dakika içinde).
Ayrıntıları hemen almak istiyorsanız, bu blog yazısını okuyun . Bir saat içinde onaylandım (Paypal üzerinden 59.90 $ ücret karşılığında).

Doğrulandıktan sonra, yeni bir özel anahtar ve bir Sertifika İmzalama İsteği (CSR) oluşturun. Not genel anahtar dışındaki tüm alanlar dikkate alınmaz . Sertifikadaki tüm bilgiler, CSR'nizden değil, kimlik doğrulama sırasında sağladığınız bilgilerden çıkarılır .

# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
    mv codesigning2.key codesigning.key

Bunu web arayüzü aracılığıyla gönderin ve hızlı bir şekilde iki yıl geçerli olan yeni bir sertifika alacaksınız (benimkini bir saat içinde aldım).

Sorun: Ömür Boyu İmzalama OID'si

StartCom'un sınıf 2 sertifikaları, Ömür Boyu İmzalama OID kümesine sahiptir. Bu bit nedeniyle imzalı kodun imzası, sertifikanın süresi dolduktan sonra, zaman damgası olsa bile geçersiz hale gelecektir.

Bu OID'nin nedenini Eddy Nigg'a (StartCom COO / CTO'su) sorduğumda şu cevabı verdi:

Sertifikaların süresi dolduktan sonra CRL'lerin 20 yıla kadar faaliyette kalmasını bizden talep ediyoruz. Bu, EV seviyesi sertifikaları için yapabileceğimiz bir şeydir (çok daha düşük hacim, farklı ödeme koşulları), ancak yalnızca bu fayda için Sınıf 2'nin fiyatını artıracaktır (burada kod imzalama, bu seviyedeki seçeneklerin yalnızca bir parçasıdır).

Bu nedenle zaman damgası, yalnızca yasal olarak kurulmuş kuruluşlar için geçerli olan ve maliyeti 199,90 $ olan Genişletilmiş Doğrulama'dan (EV) sonra kullanılabilir . Bu nedenle, bireysel geliştiriciler StartCom'dan bir kod imzalama sertifikasıyla zaman damgası kullanamaz .

Uzun zamandır bu sınırlamayı büyük bir sorun olarak görüyordum. Son zamanlarda fikrimi değiştirdim: Bu yalnızca iki yılda bir oluyor, güvenliğe önem veren kullanıcılar yazılımımın en son sürümünü almaya daha yatkın olabilir ve yazılımın eski sürümleri yine de çalışacaktır (kullanmak isteyenler için; doğrulanmış bir imza olmasa da).

Not: Ömür Boyu imzalama bayrağı ayarlandığında bile kodunuza her zaman zaman damgası ekleyin ! Zaman damgalı imzalar, sertifika iptal edildiğinde bile sertifikanın sona erme tarihine kadar geçerli kalacaktır (açıkçası, yalnızca sertifika iptal edilmeden önce imza oluşturulmuşsa).

Sertifikanın pratik kullanımı

StartCom'da yalnızca doğrulama için ödeme yaparsınız. Kimlik doğrulama 350 gün boyunca geçerlidir ve bu süre zarfında ücretsiz olarak kod imzalama sertifikaları talep edebilirsiniz. Yalnızca bir geçerli kod imzalama sertifikanız olabilir ve herhangi bir kodu (MSI, DLL, XPI, ...) imzalamak için kullanılabilir ancak sürücü kodunu (bu EV gerektirir) imzalamak için kullanılabilir.

Sertifikadaki bir özniteliği değiştirmek için, önceki sertifika iptal edilmeli ve yenisi istenmelidir. Sertifikanın iptali 29.90 $ 'dır. Bir kod imzalama sertifikası aldıktan bir gün sonra e-postamı değiştirdiğimde, istisnai olarak sertifikamı ücretsiz olarak iptal ettiler (olumlu bir şekilde şaşırdım)!

Son

Sertifikanızın süresi dolmak üzereyken (neredeyse iki yıl sonra), bir bildirim alırsınız (iki hafta önceden). Doğrulanmış kimliğiniz hala geçerliyse (doğrulamaların 350 gün sonra sona erdiğini hatırlayın; ardından kimliğinizi 59.90 $ karşılığında tekrar onaylamanız gerekir), öncekini iptal etmeden yeni bir sertifika talep edebilirsiniz. Yazılımınızın bu yeni kod imzalama sertifikasıyla imzalanmış yeni bir sürümünü yayınlamayı unutmayın, çünkü önceki sürümler yakında "(doğrulanmadı)" veya benzeri bir şey gösterecektir.

OCSP

Sertifikamı aldığımda Firefox eklentimi imzaladım. Ancak, XPI dosyam doğru şekilde imzalanmış olmasına rağmen hala "(Yazar doğrulanmadı)" gösteriyor. Firefox'un, yeni sertifikamın iptal durumu için StartCom'un OCSP sunucularını sorguladığında mevcut sertifika durumunu alamadığı ortaya çıktı. muhtemelen alakalı forum konusu

Yaklaşık yarım gün sonra, sertifikam OCSP sunucuları tarafından biliniyordu ve beklendiği gibi adım çıktı. Alınan ders: Yeni bir sertifikanız olduğunda, yazılımınızı yeni imzayla yayınlamadan önce yaklaşık bir gün bekleyin.


1
Ömür boyu imzalama ve "yalnızca bir etkin kod imzalama sertifikası" hakkındaki bilgiler için teşekkür ederiz. Kesinlikle bilmeye değer. Bunu bir gün yapmayı planlıyordum ve sanırım hala yapmak istiyorum. Zaten ücretsiz SSL sertifikaları kullanılıyor.
ygoe

2
StartCom'da güncelleme: Kod sertifikalarında artık Ömür Boyu İmzalama OID'si ayarlanmamış. Artık diğer kod imzalama sertifikaları kadar iyidirler. Organizasyon doğrulamaları için, çekirdek kodu imzalama bile dahildir.
Josef, Monica'yı Yeniden

8

KSoftware'e de bakabilirsiniz . Comodo kod imzalama sertifikalarını 99 ABD Doları / yıl karşılığında yeniden satarlar .


1
Onları geçmişte başarıyla kullandım. Tucows aynı zamanda bir bayi ve çok yıllık bir anlaşma yaparsanız, bunları yılda yaklaşık 70'e satın alabileceğinizi düşünüyorum.
EricLaw

KSoftware'in harika bir servisi var, Comodo iyi değil, KSoftware'deki adamlar hızlı cevap veriyor, akraba değilim, sadece mutlu bir müşteri.
digitai

1
Yakın zamanda KSoftware'den bir sertifika satın aldım, ancak doğrulama sürecini hala bitirmedim, Comodo'nun doğrulama ekibi benden bir telefon numarası sormaya devam ediyor ama Yüz Yüze bunun zorunlu olduğunu söylemedi.
Nicke Manarin

1
K Software'den bir kod imzalama sertifikası satın aldım çünkü fiyat farkı önemliydi: Yılda 175 dolar yerine yılda 75 dolar. Doğrulama ve düzenleme işlemlerini tamamladıktan sonra burada bir güncelleme göndermeyi deneyeceğim. Ancak içimden gelen ses, fazladan 100 $ ödemenin ve doğrudan Comodo ile gitmenin muhtemelen buna değeceğini söylüyor. Nasıl gittiğini sana söyleyeceğim ...
Joshua Pinter

1
Güncelleme: Gerekli belgelerin tamamlanması için avukatlarımızın üzerinden geçmeyi denedim, ancak bunun 1.500 dolara mal olacağını söylediler. Bu nedenle, bir DUNS numarası almak ve bunu var olduğumuzun "doğrulama" olarak kullanmak için sadece D & B.com'a kaydolmayı seçtik. Şimdi bizde var ama baş belasıydı ve baştan sona tamamlanması yaklaşık bir ay sürdü. Aceleniz varsa digicert.com gibi farklı sağlayıcılara bakarım. (Bununla birlikte, farklı / daha iyi olup olmadıklarından emin değilim.)
Joshua Pinter

8

StartSSL ürününe bir göz atabilirsiniz .

Not StartSSL artık kapandı ve artık sertifika vermiyor.


4
Komik. Google Chrome bana startsl.com'un geçersiz bir sertifikası olduğunu bildirdi ve bu siteye devam etmenin riskleri konusunda beni uyarıyor. :-) Yine de devam ettim. İyi görünüyor.
Wim ten Brink

1
Kök CA sertifikasını başlangıçtan eklerseniz, tüm bunlar ortadan kalkacaktır. FireFox 3+ cihazının bu CA sertifikasına sahip olduğuna inanıyorum.
Frozenskys

47
Kök CA'ları içe aktarmak her zaman harika bir duygudur. Bir tür onlara sahip olma amacını tamamen ortadan kaldırır.
Matthew Whited

3
StartSSL, Windows Vista + 'da RootCA ile ilk (yalnızca hala) ücretsiz CA'dır. Windows'un eski sürümleri için çok afaik içeren bir sertifika güncellemesi var. Chrome'un neden bunu bir RootCA veya Windows'a geri dönüş olarak kontrol etmemesi yalnızca bir Chrome sorunudur.
Robert MacLean

6
BTW StartSSL'nin kod imzalama sertifikaları beta sürümdür ve doğrulanması gerekir (şu anda ücretsiz değil)
Robert MacLean

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.