Ben bir kod imzalama sertifikası var StartCom (startssl). Hizmetlerinden çok memnunum: Müşteri hizmetleri çok hızlı ve fiyatları çok uygun.
Kod imzalama sertifikasını alma
Bir kod imzalama sertifikası almak, 2. Sınıf Kimlik Doğrulamasını gerektirir . StartCom, tüm süreç boyunca size rehberlik eder (mükemmel yanıt oranları ile, deneyimime göre genellikle on dakika içinde).
Ayrıntıları hemen almak istiyorsanız, bu blog yazısını okuyun . Bir saat içinde onaylandım (Paypal üzerinden 59.90 $ ücret karşılığında).
Doğrulandıktan sonra, yeni bir özel anahtar ve bir Sertifika İmzalama İsteği (CSR) oluşturun. Not genel anahtar dışındaki tüm alanlar dikkate alınmaz . Sertifikadaki tüm bilgiler, CSR'nizden değil, kimlik doğrulama sırasında sağladığınız bilgilerden çıkarılır .
Bunu web arayüzü aracılığıyla gönderin ve hızlı bir şekilde iki yıl geçerli olan yeni bir sertifika alacaksınız (benimkini bir saat içinde aldım).
Sorun: Ömür Boyu İmzalama OID'si
StartCom'un sınıf 2 sertifikaları, Ömür Boyu İmzalama OID kümesine sahiptir. Bu bit nedeniyle imzalı kodun imzası, sertifikanın süresi dolduktan sonra, zaman damgası olsa bile geçersiz hale gelecektir.
Bu OID'nin nedenini Eddy Nigg'a (StartCom COO / CTO'su) sorduğumda şu cevabı verdi:
Sertifikaların süresi dolduktan sonra CRL'lerin 20 yıla kadar faaliyette kalmasını bizden talep ediyoruz. Bu, EV seviyesi sertifikaları için yapabileceğimiz bir şeydir (çok daha düşük hacim, farklı ödeme koşulları), ancak yalnızca bu fayda için Sınıf 2'nin fiyatını artıracaktır (burada kod imzalama, bu seviyedeki seçeneklerin yalnızca bir parçasıdır).
Bu nedenle zaman damgası, yalnızca yasal olarak kurulmuş kuruluşlar için geçerli olan ve maliyeti 199,90 $ olan Genişletilmiş Doğrulama'dan (EV) sonra kullanılabilir . Bu nedenle, bireysel geliştiriciler StartCom'dan bir kod imzalama sertifikasıyla zaman damgası kullanamaz .
Uzun zamandır bu sınırlamayı büyük bir sorun olarak görüyordum. Son zamanlarda fikrimi değiştirdim: Bu yalnızca iki yılda bir oluyor, güvenliğe önem veren kullanıcılar yazılımımın en son sürümünü almaya daha yatkın olabilir ve yazılımın eski sürümleri yine de çalışacaktır (kullanmak isteyenler için; doğrulanmış bir imza olmasa da).
Not: Ömür Boyu imzalama bayrağı ayarlandığında bile kodunuza her zaman zaman damgası ekleyin ! Zaman damgalı imzalar, sertifika iptal edildiğinde bile sertifikanın sona erme tarihine kadar geçerli kalacaktır (açıkçası, yalnızca sertifika iptal edilmeden önce imza oluşturulmuşsa).
Sertifikanın pratik kullanımı
StartCom'da yalnızca doğrulama için ödeme yaparsınız. Kimlik doğrulama 350 gün boyunca geçerlidir ve bu süre zarfında ücretsiz olarak kod imzalama sertifikaları talep edebilirsiniz. Yalnızca bir geçerli kod imzalama sertifikanız olabilir ve herhangi bir kodu (MSI, DLL, XPI, ...) imzalamak için kullanılabilir ancak sürücü kodunu (bu EV gerektirir) imzalamak için kullanılabilir.
Sertifikadaki bir özniteliği değiştirmek için, önceki sertifika iptal edilmeli ve yenisi istenmelidir. Sertifikanın iptali 29.90 $ 'dır. Bir kod imzalama sertifikası aldıktan bir gün sonra e-postamı değiştirdiğimde, istisnai olarak sertifikamı ücretsiz olarak iptal ettiler (olumlu bir şekilde şaşırdım)!
Son
Sertifikanızın süresi dolmak üzereyken (neredeyse iki yıl sonra), bir bildirim alırsınız (iki hafta önceden). Doğrulanmış kimliğiniz hala geçerliyse (doğrulamaların 350 gün sonra sona erdiğini hatırlayın; ardından kimliğinizi 59.90 $ karşılığında tekrar onaylamanız gerekir), öncekini iptal etmeden yeni bir sertifika talep edebilirsiniz. Yazılımınızın bu yeni kod imzalama sertifikasıyla imzalanmış yeni bir sürümünü yayınlamayı unutmayın, çünkü önceki sürümler yakında "(doğrulanmadı)" veya benzeri bir şey gösterecektir.
OCSP
Sertifikamı aldığımda Firefox eklentimi imzaladım. Ancak, XPI dosyam doğru şekilde imzalanmış olmasına rağmen hala "(Yazar doğrulanmadı)" gösteriyor. Firefox'un, yeni sertifikamın iptal durumu için StartCom'un OCSP sunucularını sorguladığında mevcut sertifika durumunu alamadığı ortaya çıktı. muhtemelen alakalı forum konusu
Yaklaşık yarım gün sonra, sertifikam OCSP sunucuları tarafından biliniyordu ve beklendiği gibi adım çıktı. Alınan ders: Yeni bir sertifikanız olduğunda, yazılımınızı yeni imzayla yayınlamadan önce yaklaşık bir gün bekleyin.