Chứng chỉ ký mã cho các dự án nguồn mở?

117

Tôi muốn xuất bản một trong các ứng dụng của mình dưới dạng mã nguồn mở và muốn ký số vào các tệp nhị phân mà tôi đã tạo bằng chứng chỉ của riêng mình. (Tất nhiên, bất kỳ ai khác cũng có thể tải xuống mã và tự xây dựng mã bằng chứng chỉ của riêng họ.) Tôi muốn làm điều này để mọi người có thể kiểm tra xem bản dựng này do tôi tạo ra chứ không phải bởi ai khác. Tôi cũng muốn tạo một trang web an toàn với chứng chỉ SSL hợp lệ để khách truy cập có thể tạo tài khoản của riêng họ một cách an toàn để họ có thể đóng góp cho dự án này.

Tôi có thể tạo chứng chỉ tự ký, nhưng tôi không thực sự thích tùy chọn đó. Hoặc tôi có thể trả cho Verisign một vài lượng vàng để nhận được những chứng chỉ có giá trị trong vài năm. Tôi cũng không thích lựa chọn đó, vì kho bạc của tôi rất có giá trị đối với tôi.

Vì vậy, có bất kỳ lựa chọn nào khác không? Ví dụ: một nhà cung cấp hỗ trợ các dự án mã nguồn mở bằng cách cung cấp chứng chỉ với giá giảm? Nó không nhất thiết phải miễn phí, chỉ ít tốn kém hơn nhiều so với Verisign ...

(Dự án được tạo bằng C # với Visual Studio 2008. Cộng với một dự án bổ sung trong ASP.NET muốn SSL.)

open-source code-signing-certificate

— Wim ten Brink
nguồn

Câu hỏi này là về chủ đề. Nó mô tả vấn đề (mong muốn xuất bản) và những gì đã được thực hiện (ứng dụng được xây dựng, nhưng chưa ký tên). Nó không yêu cầu các khuyến nghị, chỉ tên của một hoặc nhiều nhà cung cấp miễn phí hoặc chi phí thấp. Nó yêu cầu các câu trả lời "tìm thấy" một nguồn tài nguyên ngoài trang web, nhưng không phải theo cách có khả năng thu hút các câu trả lời có ý kiến hoặc spam, vì có rất ít tùy chọn.

— Edward Brey

5

Tôi muốn chỉ ra rằng tôi đã hỏi câu hỏi này gần 8 năm nay. Ngày nay, đã có thêm một số lựa chọn nhưng độ tin cậy đang trở thành một vấn đề. Ngoài ra còn có rất nhiều tùy chọn miễn phí cho SSL và phát triển web nhưng mã ký giấy chứng nhận vẫn còn khan hiếm ...

— Wim ten Brink

1

Alas LetsEncrypt sẽ không hỗ trợ chứng chỉ ký mã . Giữa năm 2018, giá rẻ nhất tôi có thể tìm thấy là Comdo của codesigncert với $ 59 mỗi anum. Nó muốn được dễ dàng hơn nhiều nếu các chính phủ ban hành mọi công dân / đối tượng với một cert mã ký như chứng minh nhân dân ... nhưng sau đó tôi muốn bị buộc phải tin tưởng chính phủ của tôi

— earcam

9

Bạn có thể thử CAcert . Với điều này, bạn sẽ được chứng nhận bởi những người dùng CAcert khác. CAcert có một hệ thống dựa trên danh tiếng, vì vậy nếu bạn được chứng nhận thường xuyên thì chứng chỉ của bạn được coi là hợp lệ.

Bạn có thể phải thêm CAcert làm cơ quan đáng tin cậy trên hệ thống đích. Tự ký tệp thi hành của bạn phải là một tùy chọn đủ nhưng bạn sẽ cần cung cấp chứng chỉ công khai. Sử dụng một cơ quan đã biết có thể giúp xác minh tệp nhưng tôi nghĩ rằng nó đã hết hiệu lực trong trường hợp này, hãy sử dụng tổng kiểm tra hoặc băm sha2 của tệp kết hợp với chứng chỉ tự ký của bạn. Bạn có thể thiết lập hộp linux làm CA tuy nhiên họ sẽ cần tin tưởng chứng chỉ công khai của bạn.

— Mnementh
nguồn

48

Nhược điểm của CACert là nó không được bao gồm theo mặc định trong bất kỳ trình duyệt chính nào ( wiki.cacert.org/InclusionStatus ), vì vậy trải nghiệm người dùng thông thường không tốt hơn trải nghiệm của chứng chỉ tự ký.

— Kohsuke Kawaguchi

6

Ngoài ra, nếu bạn đang quan tâm đến việc ký kết thực thi Windows, nhớ rằng cacert không được liệt kê trong danh sách các Certification Authorities (CA) là thành viên của Chương trình Windows Certificate gốc , trong khi Unizeto CERTUM là

— user377486

Tôi đã thử CAcert. Hình ảnh này tổng hợp lại: imgur.com/a/rNYqBme

— selbie

danh sách CA cập nhật có thể được tìm thấy tại ccadb-public.secure.force.com/microsoft/…

— Erdogan Kurtur

35

Đối với các nhà phát triển nguồn mở, Certum cung cấp chứng chỉ ký mã ~~miễn phí~~ *

Chỉ cần nhập "nhà phát triển mã nguồn mở" vào trường "công ty" khi bạn yêu cầu chứng chỉ. Đó là nó.

Liên kết đến chứng chỉ ký mã nguồn mở ở đây

[*] Bắt đầu từ năm 2016, chứng chỉ Ký mã nguồn mở không còn được cung cấp miễn phí nữa. Nó bây giờ là một dịch vụ trả phí duy nhất.

— Stefan
nguồn

2

Bạn đã đến trang web và chỉ có thể thấy chứng chỉ SSL, bạn có thể liên kết sâu đến chứng chỉ ký mã không?

— Frozenskys

3

Họ dường như không cung cấp điều này nữa.

— Chad

3

AFAIK họ đã ngừng cung cấp chứng chỉ nhà phát triển Nguồn mở miễn phí. Nếu không, tôi thực sự đánh giá cao một liên kết.

— reiniero

15

Có vẻ như chứng chỉ không còn miễn phí nữa - tham chiếu đến việc ký mã nguồn mở đã bị xóa khỏi trang chứng chỉ kiểm tra và hiện có một trang sản phẩm riêng en.sklep.unizeto.pl/data-safety/code-signs-certificates/ … . Tuy nhiên, với giá € 14, chúng rẻ hơn nhiều so với các chứng chỉ khác. Quá trình đăng ký dường như cũng giống như khi họ còn miễn phí.

— Alex Warren

2

@quasoft đó là các chứng chỉ SSL.

— Nathan Osman,

27

Cập nhật: Không còn miễn phí, hiện là € 105,78 (tính đến ngày 19 tháng 2 năm 2017). Chi phí sẽ ít hơn nếu bạn đã sở hữu phần cứng tiền điện tử của họ. FWIW, sau đây là các hướng dẫn trước.

Nhận chứng chỉ ký mã miễn phí từ Certum / Unizeto cho cá nhân bạn, hãy làm theo các bước sau. Sử dụng Internet Explorer hoặc Safari, vì chúng hỗ trợ cơ chế trao đổi khóa.

Duyệt đến ID kiểm tra và chứng chỉ OpenSource Code Signing , và gửi biểu mẫu.
Chứng chỉ sẽ xuất hiện trong Kích hoạt chứng chỉ . Nhấp vào Kích hoạt .
Đi qua trình hướng dẫn kích hoạt. Đối với Tổ chức, hãy nhập Nhà phát triển nguồn mở . Đối với Đơn vị tổ chức , hãy nhập Xuất bản phần mềm .
Bạn sẽ nhận được email yêu cầu cung cấp bằng chứng nhận dạng. Trả lời bằng liên kết đến dự án nguồn mở và hình ảnh bằng lái xe của bạn (hoặc một tài liệu được chấp nhận khác). Để bảo vệ quyền riêng tư của mình, bạn nên mã hóa thư trả lời. ^* Cách mã hóa khác nhau tùy theo ứng dụng email. Đối với Outlook, hãy đảm bảo bạn có chứng chỉ email ( có sẵn miễn phí ) và bật mã hóa .
Trong vòng một ngày hoặc lâu hơn, bạn sẽ nhận được email có liên kết để nhận chứng chỉ của mình. Bạn phải mở liên kết từ cùng một máy tính và trình duyệt mà bạn đã sử dụng để bắt đầu quá trình.

_{* Mặc dù email xác minh từ Certum nói rằng hãy gửi bằng chứng đến ccp@certum.pl, Certum cũng chấp nhận bằng chứng được gửi đến địa chỉ trả lời info@certum.plmà bạn có thể gửi email được mã hóa.}

— Edward Brey
nguồn

Làm việc tốt, cảm ơn rất nhiều! Không biết họ có gia hạn chứng chỉ miễn phí sau thời hạn 1 năm không? Hay đây chỉ là thời gian dùng thử và sau đó nó trở thành chứng chỉ trả phí?

— Al-Khwarizmi

1

Sau khoảng 10 tháng, bạn sẽ nhận được thư để nhắc rằng chứng chỉ của bạn sắp hết hạn. Trong thư đó, họ đề cập rằng bạn có thể gia hạn, nhưng điều đó không hiệu quả (đối với tôi 4 tháng trước). Tôi đã yêu cầu một chứng chỉ mới theo cách giống như cách tôi đã làm một năm trước đó và đã nhận được nó. Tóm lại: bạn chỉ cần yêu cầu một chứng chỉ mới mỗi năm.

— Martijn Stolk

Menu quốc gia thả xuống dường như không còn liệt kê Hoa Kỳ nữa? Có chứng chỉ vào năm 2013 nên nó đã từng hoạt động với tôi.

— Warty

Đã thử điều này. Bây giờ là chứng chỉ 90 ngày. Tuy nhiên, không thể vượt qua bước "Kích hoạt" vì nhấp vào nút "Tạo khóa" không có tác dụng gì và Tiếp theo sẽ ném cảnh báo "Tạo cặp khóa" ....

— StevoKeano

Họ dường như vẫn còn phương pháp CSR. Làm thế nào họ có thể biết CSR được tạo ra bởi phần cứng của họ hay không?

— OCTAGRAM

22

Cập nhật năm 2016: StartCom đã được mua lại bởi WoSign trong những trường hợp đáng ngờ . Tôi không tin StartCom / WoSign. Hãy xem xét bên dưới văn bản như một lưu ý lịch sử về cách tốt StartCom đã lên đến đầu năm 2015 .

Tôi đã có chứng chỉ ký mã từ StartCom (StartSSL). Tôi rất hài lòng với dịch vụ của họ: Dịch vụ khách hàng của họ rất nhanh và giá cả rất hợp lý.

Nhận chứng chỉ ký mã

Nhận chứng chỉ ký mã yêu cầu Xác thực Danh tính Lớp 2 . StartCom hướng dẫn bạn toàn bộ quy trình (với tỷ lệ phản hồi tuyệt vời, thường là trong vòng mười phút theo kinh nghiệm của tôi).
Nếu bạn muốn biết chi tiết ngay lập tức, hãy đọc bài đăng trên blog này . Tôi đã được xác thực trong vòng một giờ (với khoản phí 59,90 đô la, qua Paypal).

Sau khi được xác thực, hãy tạo khóa riêng tư mới và Yêu cầu ký chứng chỉ (CSR). Lưu ý rằng tất cả các trường ngoại trừ khóa công khai đều bị bỏ qua . Tất cả thông tin trong chứng chỉ được suy ra từ thông tin bạn cung cấp trong quá trình xác thực danh tính, không phải từ CSR của bạn .

# Create key and CSR (key must be at least 2048 bit, per Policy Statement) openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr # Add pass phrase to key (optional, but highly recommended) openssl rsa -in codesigning.key -des3 -out codesigning2.key && \ mv codesigning2.key codesigning.key

Gửi cái này qua giao diện web và bạn sẽ nhanh chóng nhận được chứng chỉ mới có giá trị trong hai năm (tôi đã nhận được chứng chỉ trong vòng một giờ).

Sự cố: OID ký suốt đời

Chứng chỉ lớp 2 của StartCom có bộ OID ký trọn đời. Do bit này, chữ ký của mã đã ký sẽ trở nên không hợp lệ sau khi chứng chỉ hết hạn, ngay cả khi nó được đánh dấu thời gian.

Khi tôi hỏi Eddy Nigg (COO / CTO của StartCom) về lý do của OID này, anh ấy trả lời:

Chúng tôi yêu cầu chúng tôi giữ cho CRLs hoạt động trong tối đa 20 năm sau khi chứng chỉ đã hết hạn. Đây là điều chúng tôi có thể làm đối với chứng chỉ cấp EV (khối lượng thấp hơn nhiều, các điều khoản thanh toán khác nhau) nhưng sẽ tăng giá cho Loại 2 chỉ vì lợi ích này (trong đó việc ký mã chỉ là một phần của các tùy chọn ở cấp độ này).

Do đó, dấu thời gian chỉ khả dụng sau Xác thực mở rộng (EV), chỉ có sẵn cho các tổ chức được thành lập hợp pháp và có giá 199,90 đô la. Vì vậy, các nhà phát triển cá nhân không thể sử dụng dấu thời gian với chứng chỉ ký mã từ StartCom .

Trong một thời gian dài, tôi coi hạn chế này là một vấn đề lớn. Gần đây, tôi đã thay đổi quyết định: Nó chỉ xảy ra hai năm một lần, những người dùng quan tâm đến bảo mật có thể có xu hướng tải phiên bản phần mềm mới nhất của tôi hơn và các phiên bản cũ của phần mềm sẽ vẫn hoạt động (đối với những người muốn sử dụng nó; mặc dù không có chữ ký xác minh).

Lưu ý: Luôn đánh dấu thời gian cho mã của bạn, ngay cả khi cờ ký Trọn đời được đặt ! Chữ ký có dấu thời gian sẽ vẫn có giá trị cho đến ngày hết hạn của chứng chỉ, ngay cả khi chứng chỉ đã bị thu hồi (hiển nhiên, chỉ khi chữ ký được tạo trước khi chứng chỉ bị thu hồi).

Thực tế sử dụng chứng chỉ

Tại StartCom, bạn chỉ phải trả tiền để xác nhận. Xác thực danh tính có hiệu lực trong 350 ngày và trong thời gian này, bạn có thể yêu cầu chứng chỉ ký mã miễn phí. Bạn chỉ có thể có một chứng chỉ ký mã hợp lệ và nó có thể được sử dụng để ký bất kỳ mã nào (MSI, DLL, XPI, ...) nhưng không phải mã trình điều khiển (điều này yêu cầu EV).

Để thay đổi một thuộc tính trên chứng chỉ, chứng chỉ trước đó phải được thu hồi một thuộc tính mới được yêu cầu. Chi phí thu hồi chứng chỉ là 29,90 đô la. Mặc dù khi tôi thay đổi email một ngày sau khi nhận được chứng chỉ ký mã, họ đã thu hồi chứng chỉ của tôi mà không tính phí (tôi rất ngạc nhiên)!

Hết hạn

Khi chứng chỉ của bạn sắp hết hạn (sau gần hai năm), bạn sẽ nhận được thông báo (trước hai tuần). Nếu danh tính đã xác minh của bạn vẫn còn hiệu lực (nhớ lại rằng xác thực hết hạn sau 350 ngày; sau đó bạn phải xác nhận lại danh tính của mình với giá 59,90 đô la), bạn có thể yêu cầu chứng chỉ mới mà không cần thu hồi chứng chỉ trước đó. Đừng quên xuất bản bản phát hành mới của phần mềm được ký bằng chứng chỉ ký mã mới này, vì các bản phát hành trước sẽ sớm hiển thị "(chưa được xác minh)" hoặc một cái gì đó tương tự.

OCSP

Khi tôi nhận được chứng chỉ của mình, tôi đã ký vào tiện ích bổ sung Firefox của mình. Tuy nhiên, nó vẫn hiển thị "(Tác giả chưa được xác minh)", mặc dù tệp XPI của tôi đã được ký chính xác. Hóa ra Firefox không nhận được trạng thái chứng chỉ hiện tại khi nó truy vấn các máy chủ OCSP của StartCom về trạng thái thu hồi chứng chỉ mới của tôi. ^{chủ đề diễn đàn có thể có liên quan}

Sau khoảng nửa ngày, chứng chỉ của tôi đã được các máy chủ OCSP biết đến và tên của tôi đã hiển thị như mong đợi. Bài học rút ra: Khi bạn có chứng chỉ mới, hãy đợi khoảng một ngày trước khi xuất bản phần mềm của bạn với chữ ký mới.

— Rob W
nguồn

1

Cảm ơn bạn vì những hiểu biết sâu sắc về ký suốt đời và "chỉ một chứng chỉ ký mã đang hoạt động". Chắc chắn giá trị để biết. Tôi đã dự định làm điều này vào một ngày nào đó, và tôi nghĩ tôi vẫn muốn làm điều đó. Đã sử dụng chứng chỉ SSL miễn phí.

— ygoe

2

Cập nhật trên StartCom: Các chứng chỉ mã hiện không được đặt OID ký suốt đời. Bây giờ chúng tốt như mọi chứng chỉ ký mã khác. Đối với xác thực tổ chức, thậm chí còn có ký mã hạt nhân.

— Josef nói Hãy phục hồi Monica vào

8

Bạn cũng có thể kiểm tra KSoftware . Họ bán lại chứng chỉ ký mã Comodo với giá 99 đô la Mỹ / năm.

— Joe Kuemerle
nguồn

1

Tôi đã sử dụng chúng thành công trong quá khứ. Tucows cũng là một đại lý bán lẻ, và nếu bạn thực hiện một thỏa thuận trong nhiều năm, tôi nghĩ bạn có thể nhận được chúng trong khoảng 70 một năm.

— EricLaw

KSoftware có dịch vụ tuyệt vời, còn Comodo thì chưa tốt, các bác ở KSoftware trả lời nhanh, mình không liên quan, chỉ là khách hàng vui vẻ thôi.

— digitai

1

Gần đây tôi đã mua chứng chỉ với KSoftware, nhưng tôi vẫn chưa hoàn tất quá trình xác thực, nhóm xác thực của Comodo liên tục hỏi tôi số điện thoại nhưng Face-to-Face không nói rằng điều đó là bắt buộc.

— Nicke Manarin

1

Tôi vừa mua chứng chỉ ký mã từ K Software vì sự khác biệt về giá là đáng kể: $ 75 mỗi năm thay vì $ 175 mỗi năm. Tôi sẽ thử và đăng bản cập nhật tại đây sau khi tôi hoàn tất quá trình xác thực và phát hành. Tuy nhiên, ruột của tôi nói rằng có lẽ đáng để trả thêm 100 đô la và chỉ cần trực tiếp sử dụng Comodo. Tôi sẽ cho bạn biết nó diễn ra như thế nào ...

— Joshua Pinter

1

Cập nhật: Tôi đã cố gắng thông qua các luật sư của chúng tôi để hoàn thành tài liệu yêu cầu của họ, nhưng họ nói rằng điều đó sẽ tốn khoảng 1.500 đô la để làm. Vì vậy, chúng tôi đã chọn chỉ đăng ký với D & B.com để nhận số DUNS và sử dụng số đó làm "xác minh" rằng chúng tôi tồn tại. Bây giờ chúng tôi có nó nhưng nó rất đau và mất khoảng một tháng để hoàn thành từ đầu đến cuối. Nếu bạn đang vội, tôi sẽ xem xét nhà cung cấp khác, như digicert.com. (Đó được cho biết, tôi không chắc chắn nếu họ đang bất kỳ khác nhau / tốt hơn.)

— Joshua Pinter

8

Bạn có thể xem sản phẩm StartSSL .

Lưu ý StartSSL hiện đã đóng và không còn cấp chứng chỉ nữa.

— Frozenskys
nguồn

4

Buồn cười. Google Chrome báo cáo với tôi rằng startssl.com có chứng chỉ không hợp lệ và cảnh báo tôi về những rủi ro khi tiếp tục với trang web này. :-) Tuy nhiên, tôi đã tiếp tục. Có vẻ ổn.

— Wim ten Brink,

1

Nếu bạn thêm chứng chỉ Root CA từ startll, điều này sẽ biến mất. Tôi tin rằng FireFox 3+ tàu với cert CA này được xây dựng trong.

— Frozenskys

46

Luôn luôn là một cảm giác tuyệt vời khi nhập Root CAs. Kinda đánh bại toàn bộ mục đích của việc có chúng.

— Matthew Whited

3

StartSSL là CA miễn phí đầu tiên (duy nhất vẫn còn) có RootCA trong Windows Vista +. Có một bản cập nhật chứng chỉ cho các phiên bản Windows cũ hơn bao gồm nó quá xa. Tại sao Chrome không có nó dưới dạng RootCA hoặc dự phòng cho Windows để kiểm tra chỉ là vấn đề của Chrome.

— Robert MacLean

6

Chứng chỉ ký mã của BTW StartSSL là phiên bản beta và yêu cầu được xác minh (hiện không miễn phí $ 50)

— Robert MacLean

0

Bạn sẽ cần mua chứng chỉ ký mã. Những cái rẻ nhất là của Comodo. Tôi đã xuất bản mã nguồn và mã nhị phân, giống như bạn lập kế hoạch, và đã ký vào mã nhị phân. Xem Bộ thay đổi hàng loạt ngày & giờ cho ảnh và các tệp khác .

— Michael Haephrati
nguồn