Certifikat za podpisovanje programov "code signing" za društvo ali zavod?

Pozdravljeni.

Zanima me ali ima kdo izkušnje z nakupom standardnega ali EV certifikata za podpisovanje programov, ki bi bil izdan na društvo ali zavod? Brez tega je prodaja ali zgolj distribucija programske opreme na spletu nemogoča, saj tako browserji, kot operacijski sistemi uporabnike prestrašijo že ob inštalaciji trial programov ali freewara. 

Osebni certifikat ne želim, ker nočem svojega imena (nekateri CA dodajo tudi naslov!) na vseh programih. Ime podjetja bi bilo OK, vendar ga ne bom odprl, dokler ne bo zadostnega interesa za moje programe. Interesa pa ne bo, če bom izgubil 95% vseh prenosov, ki se bojijo Windows Guard opozoril ali pa ne vedo, da se jih lahko zaobide z 2 klikoma. 

Da imajo moje podatke pri CA ali Microsoftu me nič ne moti.

Zanima me tudi priporočilo za posrednika pri nakupu standardnega "code signing" certifikata, ki čim manj komplicira pri postopku verifikacije. Par primerov komplikacij, ki jih ne želim: zahtevanje notarsko overjenih dokumentov, zahtevanje računov za telefonijo (nimam naročniške telefonije lol), face-to-face video-konferenčni pogovori s CA oz posrednikom, ipd...

Hvala.

7 odgovorov

Pozabil sem omenit, da iščem CA, ki ne bo vključil mojega naslova v certifikat. Če taki sploh obstajajo. 

Če bo še kdo urejal te stvari, prilagam nekaj novih ugotovitev. Sectigo.com ponuja EV certifikate samo organizacijam, ki obstajajo vsaj 3 leta, za OV in IV pa te omejitve ni.

Nazadnje urejal TheEnchanter (6. dec 2020 ob 03:14)

Ja saj to je ravno fora, da je jasno kdo garantira, da je program varen. Če bi vsak za par evrov lahko dobil anonimen certifikat potem nima nobenega smisla.

Ne zahtevam anonimnosti. CA bo imel vse moje podatke in med IV/OV in EV praktično ni razlike po količini podatkov, ki jih CA zbere o meni. Če je kaj narobe se lahko uporabnik pritoži izdajatelju. Ni pa nobene potrebe, da se razvijalec odreče zasebnosti, če želi sploh dobiti kako inštalacijo. Brez certifikata pa ne gre, ker je uporabnik 2-3x prestrašen med postopkom inštalacije. Razumeš, da ne gre samo za javno ime, zraven je praktično še tvoj naslov in sedaj si izpostavljen celemu internetu ljudi z različnimi motivi. 

Certifikat ravno tako ne garantira varnosti programa. Garantira samo identiteto podpisnika programa. Če kdo želi anonimni certifikat za škodljiv program, ga lahko v 3 klikih kupi za 600$ z BTC tako, da edini oškodovani so pošteni razvijalci, ki ne želijo bit doxani.

Kakšno programsko opremo imaš pa namen nameščat, če ni skrivnost? Ali gre za driverje, instalerje, plugine,...?
Sam imam najboljše izkušnje z Thawte, Digicert,... code signing certi, smo pa to nabavljali v sklopu večje firme in ni bilo težav pa tudi ne nekega posebnega preverjanja, samo kratek klic na tel. Pred leti nam je celo SigenCA izdala code signing certifikat, ampak to je bilo mogoče, ker smo nameščali programsko opremo strankam, ki so že imele v njihov CA v trusted store ali pa je šlo za večje firme, ki lahko z GPO-jem namestijo root CA.Ne spremljam, mogoče so sedaj celo v med windows trusted.
Preden nabaviš kakšen cerfifikat tudi dobro preveri če ti ustreza za tvoj namen. Namreč namestitev ti bo verjetno pri vseh šla skozi uspešno se pa lahko potem zatakne pri različnih antivirus programih. Naletel sem kar na nekaj primerov, da je antivirus določene podpisane izvršilne zaznal kot grožnjo. Potem je bilo potrebno posredovati datoteko proizvajalcu antivirusnega softwera in se je zadeva rešila, imaš pa na drugi strani stranko, ki ji je včasih težko razložit da to ni virus ampak se je samo antivirusnik malo zmotil.

3

Čisto klasičen .Net “productivity” program, ki se izvaja v user-space.

Za podjetje je preverjanje skoraj trivialno, ker vse podatke pridobijo iz javnih baz in na koncu res sledi samo še kratek telefonski klic, v katerem potrdijo podatke. Fizičnih oseb “žal” ali pa na srečo ni v javnih direktorjih, zato te slečejo praktično do spodnjih hlač in nato tvoje ime in naslov prilepijo na UAC popup ob vsaki inštalaciji, kar se mi zdi zelo neprijazno do developerja, še posebej freeware programov.

Hvala za priporočili obeh CAjev. Mislim, da je DigiCert daleč najdražji, kar mogoče nakazuje, da so pri preverjanju bolj fleksibilni, bom pa pogledal tudi Thawte.

Tista 3 letna minimalna doba obstoja podjetja pri pridobivanju EV certifikata se mi zdi najbolj neživljenjska. Morda je ne zahtevajo vsi CAji. Kdor ima višek denarja lepo kupi “prazno” podjetje, ostali pa so soočeni z veliko blokado. Morda je tudi to razlog, da je za Linux malo morje programčkov uporabnikov, pri Windowsu pa prednjačijo velika podjetja. 

Še 2 zanimivosti za tiste, ki se ukvarjate samo z web appi in nimate takih "desktop" zajebancij: 

Zgodilo se mi je že, da sem večkrat zaporedoma prenesel svoj installer s spleta, pa mi je samo enega Windows vrgel v karanteno. Drugi so že tedne v Downloads mapi.

Enkrat prej pa mi je v karanetno dal exe, ki prižge samo GUI, kompleten backend s katerim se pogovarja pa je pustil pri miru. Skratka povsem shizofreno obnašanje,  AV industrija pa največji scam modernega softwerja. 

Če se to zgodi še komu, lahko uploadete MSju vaš program. Do sedaj se je to izkazalo za zanesljiv način zaustavitve metanja neškodljivih programov v karanteno. Link za upload: https://www.microsoft.com/en-us/wdsi/filesubmission Je pa treba uploadat po vsakem novem buildu.

2

@mraz1337: Ah, zdaj vidim, da je Thawte "reseller" za DigiCert in ne gre za 2 različna CA ponudnika:)
Update: DigiCert ne zahteva 3 leta stare organizacije. Zgleda, da imamo zmagovalca. Hvala še enrkat mraz1337.

Nazadnje urejal TheEnchanter (8. dec 2020 ob 02:28) - nove informacije od digicert

2