Какой сертификат Code Signing нужно получить для подписи кода?

Question

[Nikolai2015]

Я - разработчик shareware программы.

В связи с тем, что на мою программу очень много ложных срабатываний (на VirusTotal раньше было 5 срабатываний, теперь стало 20), хочу получить сертификат Code Signing на физическое лицо.

Сертификат также должен убрать отпугивающее сообщение SmartScreen при скачивании и запуске ПО с сайта пользователями "Windows защитила ваш компьютер" (из-за которого, думаю, теряется не менее 50% новых потенциальных клиентов).

Вопрос - какой Code Signing сертификат получать?

Лучше получить StartSSL или Comodo? Есть разница? Почему один из них стоит 60 долларов, а другой 100 долларов?

А если заказать сертификат через сайт https://www.emaro-ssl.ru - вообще получается 8000 рублей (что даже больше, чем 100 долларов) - в чем плюсы перед заказом сертификата напрямую у Comodo? А если получить напрямую через этот сервис - можно будет потом продлевать напрямую у Комодо или теперь каждый год придется платить 8000?

Вопрос, в чем разница - и за что именно имеет смысл платить больше?

Answer 1

[Владимир Мартьянов]

Подпись не избавит от "ложных" срабатываний. Наверняка у вас в софтине какая-то рекламная дрянь.

Comments

[Nikolai2015]

Никакой рекламной дряни. Программа платная, заработок на рекламе не использую. После проверки на VirusTotal количество ложных срабатываний всегда значительно увеличивается.

[Владимир Мартьянов]

Nikolai2015: Ссылку на результат проверки дайте. Антивирусам поперек на цифровые подписи в подавляющем большинстве случаев. Они могут использовать Whitelist, где будут данные о MS, Adobe, Google и прочих гигантах, но никакой безвестный производитель софта в него не попадет.

Answer 2

[IRabinovich]

Я пользуюсь StartSSL, полёт нормальный. Вопрос в наличии корневого сертификата в хранилище Windows, у Comodo их больше для старых версий ОС и сервис-паков, что давно некритично. Процесс проверки в StartSSL более адекватный, кстати, чем у Комода, у меня последние домашний телефон приняли за мобильный и потребовали предоставить домашний, после чего я потребовал рефанд. :)

Comments

[Nikolai2015]

Вопрос главным образом в SmartScreen - как избавиться от его отпугивающих сообщений (убивает продажи софта на Windows 8). Если зарегистрирую сертификат в StartSSL - после того как срок истечет - нужно получать новый сертификат (и снова раскручивать в SmartScreen) или можно продлить?

[Nikolai2015]

Вообще, как бороться со SmartScreen (вредная штука)? Я читал если даже подписать файл - какое-то время он будет ругаться. Что можно сделать?

[IRabinovich]

"Бороться" со SmartScreen можно только подписав свой код по Class 2. Других вариантов нет.

По истечению срока действия сертификата выдаётся новый, SmartScreen не реагирует на новый, он анализирует целостность и производителя. Иначе бы любой производитель ПО имел бы много вопросов к Microsoft.

[Nikolai2015]

IRabinovich: а как Вы объяснили SmartScreen, что Ваша программа - не зловредная? Я читал, смартскрин все равно блокирует - даже подписанные файлы?

[Nikolai2015]

IRabinovich: с антивирусами хоть как-то бороться можно - править код программы, писать о ложных срабатываниях. А смартскрин - такая гадость, с которой вообще бороться невозможно! Просто не дает пользователю скачать твою программу. Вообще непонятно, как развивать программу с нуля в этом случае - я читал, смартскрин даже на подписанные ругается...

[IRabinovich]

Ничего ничему объяснять не нужно. Через день-другой оно само заработает как надо. И меньше читайте советских газет. :) Как я уже писал, всё, что нужно сделать- это подписать свой код.

[Nikolai2015]

IRabinovich: а с timestamp у StartSSL все нормально? Когда кончится срок сертификата - если его не продлить - СТАРЫЕ подписанные программы не перестанут быть подписанными?

[IRabinovich]

Сервер для timestamp можно выбрать вообще любой, я выбрал Верисайновский, с ним проблем нет никаких. Если при подписи поставлен timestamp, старые подписи не перестанут работать, перестанут только те, где timestamp отсутствует.

[Nikolai2015]

IRabinovich: тогда понял - значит StartSSL (наиболее оптимально по цене - особенно для такого мелкого разработчика ПО как я). Осталось всего малость - разобраться как заплатить в StartSSL и что потом делать с полученным сертификатом (как подписывать и как защитить от кражи - не хранить ведь файл сертификата в открытом виде на диске).

[Nikolai2015]

IRabinovich: кстати, обязательно сертификат получать с той машины, на которой потом буду подписывать? Ведь требуется Internet Explorer. На машине, где планирую подписывать, стоит Windows XP, Internet Explorer 6.

Дополнительное ПО (особенно если это Internet Explorer 8) на машину где производится разработка и компиляция ставить не хочется, т. к. стабильность и скорость системы страдает.

[Nikolai2015]

Nikolai2015: какая вообще разница с какой машины получать сертификат? Ведь это просто файл с расширением pfx и подписывать им могу откуда захочу? Или я ошибаюсь?

[IRabinovich]

Подпись можно производить с любого компьютера, главное- сгенерить pfx-ку. Я генерил сертификаты и pxf с помощью OpenSSL, дальше подпись производится с помощью программ, входящих в состав SDK.

[Nikolai2015]

IRabinovich: не понял - если я куплю сертификат - они мне не вышлют готовый pxf файл - и нужно будет еще разбираться с OpenSSL, чтобы его сгенерировать? Что тогда я получу если куплю сертификат Code Signing - не pfx получается?

[Nikolai2015]

IRabinovich: это сложно разобраться с Open SSL программисту под Windows? Вы быстро разобрались что нужно сделать? Пугает сложность всего этого процесса и как бы не накосячить на каком-нибудь шаге...

А техподдержка StartSSL так и говорит - что нужно ставить OpenSSL чтобы сгенерировать сертификат?

[IRabinovich]

В пошаговой инструкции всё расписано. Если что-то непонятно, в Инете есть пошаговые туторы в тему.

[Nikolai2015]

IRabinovich: Сертификат нужно получать обазательно с использованием Internet Explorer 8?

Вы каким браузером получали?

Хочу создать виртуалку на VirtualBox - для получения сертификата - лучше WinXp или Win7?

[IRabinovich]

Я получал через FF.

[Nikolai2015]

IRabinovich: ОК - значит, думаю, проблем не будет. Вполне можно все провернуть на машине с Windows XP.

[Nikolai2015]

IRabinovich: Разобрался почти со всем:

1) Научился генерировать самоподписанные pfx-сертификаты с помощью OpenSSL

Думаю, в дальнейшем аналогичным образом получится сгенерировать pfx с помощью сертификата CodeSigning, который планирую приобрести в StartSSL (за 60 долларов).

2) Научился подписывать exe-программы pfx-сертификатом (пока самоподписанным) с использованием timestamp VeriSign

timestamp.verisign.com/scripts/timestamp.dll
(с помощью утилиты signtool.exe)

В свойствах файла программы на вкладке "Цифровые подписи" теперь есть информация о том, что программа подписана.

3) Зарегистрировался на сайте StartSSL.com, успешно авторизовался (получилось с некольких попыток). Получил сертификат для авторизации на сайте, экспортировал его из браузера, сохранил в надежное место.

4) Произвел верификацию e-mail и домена.

5) Отсканировал документы (паспорт, права, свидетельство о рождении) в высоком качестве, уменьшил их так, чтобы размер не превышал 1400x1400 и пикселей и 1 Мб, отправил на проверку в StartSSL.

Итак, у меня уже есть

Email address Validation
Domain name validation

Жду

Personal Identity Validation

- этого будет достаточно для того, чтобы можно было приступить к приобретению сертификата CodeSigning за 60 долларов.

Остался один вопрос - как заплатить за сертификат? Нужно регистрировать PayPal - или карта Сбербанка/карточка Visa другого банка подойдет? Обязательно нужна кредитная карта или PayPal? Как Вы оплачивали?

[IRabinovich]

Если я правильно помню, то картой.

[Nikolai2015]

IRabinovich: понимаю, что картой - а какой картой - картой Сбербанк?

[IRabinovich]

Visa

[Nikolai2015]

IRabinovich: код подписал - через 1-2 дня как надо не заработало. Значит, правду пишут в советских газетах... описание ситуации ниже.

[IRabinovich]

У меня заработало в своё время. Рекомендую написать в компанию Майкрософт претензию.

[Nikolai2015]

IRabinovich: в свое время - это когда (в каком году)? Софт был популярным - и число скачиваний было достаточно большим (больше нескольких сотен за 2-3 дня)?

Answer 3

[Nikolai2015]

Получил сертификат Code Signing - StartSSL за 60 долларов. Пришлось ждать письмо по почте 19 дней - наконец, дождался.

Разобрался, как создать pfx-файл и как подписывать им программу (и не просто подписывать а даже с использованием timestamp).

Но вот SmartScreen все равно не дает скачивать программу пользователям - выходит то же самое сообщение "Программа защитила Ваш компьютер".

Хотя, ради справедливости, теперь если пользователь нажмет "Read more" и затем согласится - теперь выходит второе сообщение уже нормальное - вместо "Разрешить запустить программу неизвестного издателя" теперь "Издатель: xxx - разрешить запуск?"

Но как избавиться от сообщения "Windows защитила Ваш компьютер"? Получается, Windows ругается даже на подписанные программы!

Answer 4

[Владислав Куварин]

Сертификат Comodo (Sectigo) для физического лица можно получить и по цене 5 992 руб за год при покупке сертификата на больший срок действия. Мы выдали в emaro-ssl десятки сертификатов индивидуальным разработчикам, работаем по постоплате, соответственно оплатить стоимость сертификата можно при его фактическом получении и тестировании. Касаемо заверения Вы можете и самостоятельно обратится в соответствующую контору (к сожалению, это требование со стороны центра сертификации)

https://support.sectigo.com/Com_KnowledgeDetailPag...