شهادة توقيع الكود لمشاريع مفتوحة المصدر؟

Question

أريد نشر إحدى تطبيقاتي كمصدر مفتوحا وتريد توقيع الثنائيات رقميا التي قمت بإنشائها مع شهادتي الخاصة. (بالطبع، يمكن لأي شخص آخر تنزيل التعليمات البرمجية وبناءه على أنفسهم بشهادة خاصة بهم.) أريد أن أفعل هذا حتى يمكن لأي شخص التحقق من أن هذا البناء قد صنع من قبل لي، وليس من قبل شخص آخر. أريد أيضا إنشاء موقع آمن مع شهادة SSL صالحة، لذا يمكن للزوار إنشاء حساباتهم الخاصة بطريقة آمنة حتى يتمكنوا من المساهمة في هذا المشروع.

يمكنني إنشاء شهادة موقعة ذاتيا، لكنني لا أحب هذا الخيار حقا. أو يمكنني دفع VeriSign بعض القطع الذهبية للحصول على الشهادات التي ستكون صالحة لمدة بضع سنوات فقط. أنا لا أحب هذا الخيار أيضا، لأن الخزانة ذات قيمة لي.

إذن، هل هناك أي خيارات أخرى؟ على سبيل المثال، مزود يدعم مشاريع مفتوحة المصدر من خلال تقديم شهادات للحصول على سعر مخفض؟ لا يجب أن تكون حرة، فقط أقل تكلفة من فيريسين ...

(يتم إنشاء المشروع في C # مع Visual Studio 2008.. وبعد بالإضافة إلى مشروع إضافي في ASP.NET الذي يريد SSL.)

Answer 1

يمكنك المحاولة cacert.. وبعد مع هذا، تحصل على شهادة من قبل مستخدمين Cacert الآخرين. يحتوي Cacert على نظام قائم على السمعة، لذلك إذا تم اعتمادك في كثير من الأحيان، فسيتم احتساب شهادتك بشكل صحيح.

قد تضطر إلى إضافة Cacert كسلطة موثوقة في النظام المستهدف. يجب أن يكون التوقيع الذاتي قابل للتنفيذ خيار كافيا ولكنك ستحتاج إلى تقديم الشهادة العامة. يمكن أن يساعد استخدام سلطة معروفة في التحقق من الملف، لكنني أعتقد أنه انتهى بالقتل في هذه الحالة استخدام المجموع الاختباري أو شا 2 التجزئة للملف بالاشتراك مع الشهادة الموقعة بنفسك. يمكنك إعداد مربع Linux كمرجع موضة ولكن ستحتاج إلى الوثوق بشهادةك العامة.

Answer 2

للمطورين مفتوح المصدر، شهادة يوفر شهادات توقيع التعليمات البرمجية مجانا*

فقط أدخل "مطور المصدر المفتوح" في حقل "الشركة" عند طلب الشهادة. هذا هو.

رابط لفتح شهادات توقيع التعليمات البرمجية مفتوحة هنا

*] ابتداء من عام 2016، لم تعد شهادة توقيع التعليمات البرمجية مفتوحة المصدر متوفرة مجانا. إنها الآن خدمة مدفوعة فقط.

Answer 3

تحديث: لم تعد حرة، الآن €105.78 (اعتبارا من 19 فبراير 2017). التكلفة أقل إذا كنت تملك بالفعل أجهزة التشفير الخاصة بهم. FWIW، فيما يلي التعليمات السابقة.

---

الحصول على شهادة توقيع رمز مجاني من Certum / Unizeto. لنفسك كفرد، اتبع هذه الخطوات. استخدم Internet Explorer أو Safari، لأنها تدعم آلية التبادل الرئيسية.

1. اذهب الى معرف الاختبار وشهادات توقيع رمز OpenSource, ، وتقديم النموذج.

2. ستظهر الشهادة تحت تنشيط الشهادات. وبعد انقر تفعيل.

3. الذهاب من خلال معالج التنشيط. بالنسبة منظمة أدخل المطور مفتوح المصدر. وبعد بالنسبة وحدة تنظيمية, ، أدخل نشر البرمجيات.

4. ستحصل على بريد إلكتروني طلب إثبات الهوية. قم بالرد برابط إلى مشروع المصدر المفتوح وصورة رخصة القيادة الخاصة بك (أو مستند آخر مقبول). لحماية خصوصيتك، يجب عليك تشفير الرد.^* تختلف طريقة التشفير عن طريق عميل البريد الإلكتروني. بالنسبة إلى Outlook، تأكد من أن لديك شهادة بريد إلكتروني (متاح مجانا)، و بدوره على التشفير.

5. في غضون يوم واحد أو نحو ذلك، يجب أن تتلقى رسالة بريد إلكتروني مع رابط لجمع شهادتك. يجب عليك فتح الرابط من نفس الكمبيوتر والمتصفح الذي استخدمته لبدء العملية.

_{* على الرغم من أن البريد الإلكتروني للتحقق من Certum يقول لإرسال الدليل إلى ccp@certum.pl, ، يقبل certum أيضا دليل إرسالها إلى عنوان الرد info@certum.pl, ، يمكنك إرسال بريد إلكتروني مشفهر.}

Answer 4

تحديث 2016: تم الحصول على StartCom بواسطة Wosign تحت ظروف مشكوك فيها. وبعد أنا لا أثق بدءكم / wosign. النظر في النص أدناه كملاحظة تاريخية حول كيفية بدء تشغيل جيد كنت ما يصل إلى أوائل عام 2015.

لدي شهادة توقيع رمز من أخر (startssl). أنا راض جدا عن خدمتهم: خدمة العملاء الخاصة بهم سريعة جدا، وأسعارها معقولة جدا.

الحصول على شهادة توقيع التعليمات البرمجية

الحصول على شهادة توقيع التعليمات البرمجية يتطلب التحقق من التحقق من الهوية 2. وبعد يقوم StartCom بنشدك عبر العملية برمتها (مع معدلات الاستجابة الممتازة، عادة في غضون عشر دقائق في تجربتي).
إذا كنت ترغب في الحصول على التفاصيل مباشرة، اقرأ هذه المدونة post.. وبعد تم التحقق من صحة في غضون ساعة (مقابل رسوم قدرها 59.90 دولار، عبر PayPal).

بعد التحقق من صحة، قم بتوليد مفتاح خاص جديد، وطلب توقيع الشهادة (CSR). لاحظ أن يتم تجاهل جميع الحقول باستثناء المفتاح العام. وبعد جميع المعلومات في الشهادة هي استنتج من المعلومات التي تقدمها أثناء التحقق من صحة الهوية، وليس من CSR الخاص بك.

# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
    mv codesigning2.key codesigning.key

أرسل هذا عبر واجهة الويب وستحصل بسرعة على شهادة جديدة صالحة لمدة عامين (حصلت على الألغام في غضون ساعة).

العدد: العمر توقيع OID

شهادات StartCom's Class 2 لها مدى الحياة توقيع مجموعة OID. بسبب هذا القلع، سيصبح توقيع رمز الموقع غير صالح بعد انتهاء صلاحية الشهادة، حتى عندما يكون الطابع الزمني.

عندما سألت إدي نيغ (COO / CTO من Startcom) لسبب هذا OID، أجاب:

يتطلب الأمر منا للحفاظ على تشغيل CRLS لمدة تصل إلى 20 عاما بعد انتهاء صلاحية الشهادات بالفعل. هذا شيء يمكننا القيام به من أجل المستوى EV Certs (حجم أقل بكثير، شروط الدفع المختلفة) ولكن من شأنه أن يزيد من سعر الفئة 2 فقط لهذا المنفعة (حيث توقيع الكود جزء فقط من الخيارات في هذا المستوى).

وبالتالي فإن الطوابع الزمنية متوفرة فقط بعد التحقق من الصحة الممتدة (EV)، والتي هي متاح فقط للمنظمات المنشأة قانونا وتكاليف 199.90 دولار. وبالتالي، لا يمكن للمطورين الأفراد استخدام الطوابع الطوابع مع شهادة توقيع التعليمات البرمجية من StartCom.

لفترة طويلة، اعتبرت هذا القيد مشكلة كبيرة. في الآونة الأخيرة، غيرت رأيي: إنه يحدث مرة واحدة فقط كل عامين، قد يميل المستخدمون الأمنيون أكثر للحصول على أحدث إصدار من البرامج الخاصة بي، وسيظل الإصدارات القديمة من البرنامج تعمل (لأولئك الذين يرغبون في استخدامه؛ على الرغم من دون توقيع تم التحقق منه).

ملحوظة: دائما TimeStamp التعليمات البرمجية الخاصة بك، حتى عند تعيين علامة توقيع العمرفي ستظل التواقيع الزمنية سارية المفعول حتى تاريخ انتهاء الصلاحية للشهادة، حتى عند إلغاء الشهادة (من الواضح، فقط إذا تم إبطال التوقيع قبل إلغاء الشهادة).

الاستخدام العملي للشهادة

في Startcom، أنت تدفع فقط مقابل التحقق من الصحة. التحقق من صحة الهوية صالحة لمدة 350 يوما، وخلال هذه الفترة، يمكنك طلب شهادات توقيع التعليمات البرمجية مجانا. يمكنك فقط الحصول على شهادة توقيع رمز ساري المفعول، ويمكن استخدامها لتوقيع أي رمز (MSI، DLL، XPI، ...) ولكن ليس رمز برنامج التشغيل (هذا يتطلب EV).

لتغيير سمة على الشهادة، يجب إلغاء الشهادة السابقة واحدة جديدة مطلوبة. إلغاء شهادة شهادة 29.90 دولار. رغم أنني عندما غيرت بريدي الإلكتروني بعد يوم من الحصول على شهادة توقيع التعليمات البرمجية، فقد ألغيت بشكل استثنائي شهادتي دون رسوم (لقد فوجئت بشكل إيجابي)!

انتهاء الصلاحية

عندما تكون شهادتك على وشك الانتهاء (بعد ما يقرب من عامين)، تحصل على إشعار (أسبوعين مقدما). إذا كانت هويتك التي تم التحقق منها لا تزال صالحة (تنتهي صلاحية التحقق من الصحة بعد 350 يوما؛ ثم عليك تأكيد هويتك مرة أخرى مقابل 59.90 دولارا)، يمكنك طلب شهادة جديدة دون إلغاء واحدة السابقة. لا تنس نشر إصدار جديد من البرنامج الذي تم توقيعه مع شهادة توقيع التعليمات البرمجية الجديد هذه، لأن الإصدارات السابقة ستظهر قريبا "(غير مستقل)" أو شيء مشابه.

ocsp.

عندما تلقيت شهادتي، وقعت الوظيفة الإضافية ل Firefox الخاصة بي. ومع ذلك، لا يزال يظهر "(لم يتم التحقق من المؤلف)"، على الرغم من توقيع ملف XPI الخاص بي بشكل صحيح. اتضح أن فايرفوكس لم يحصل على حالة الشهادة الحالية عندما استفسر من خوادم OCSP الخاصة ب STARTCOM لحالة إلغاء شهادتي الجديدة. ^{ربما موضوع المنتدى ذات الصلة}

بعد حوالي نصف يوم، كانت شهادتي معروفة لخوادم OCSP، وأظهر اسمي كما هو متوقع. الدرس المستفاد: عندما تكون لديك شهادة جديدة، انتظر قبل يوم واحد قبل نشر برنامجك مع التوقيع الجديد.

Answer 5

هل يمكن أن يكون لديك نظرة startssl. المنتوج.

Answer 6

يمكنك أيضا التحقق من ksoftware.. وبعد انهم بإعادة بيع كومودو شهادات توقيع الكود مقابل 99 دولارا أمريكيا.

Answer 7

ستحتاج إلى شراء شهادة توقيع التعليمات البرمجية. أرخص منها هي من كومودو. لقد نشرت شفرة المصدر والثنائيات، مثلك تخطط، وتوقيع الثنائيات. يرى تاريخ ووقت مبدل الدفعات للصور وغيرها من الملفات.