certificado de firma de código para proyectos de código abierto?
https://stackoverflow.com/questions/1177552
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
quiero publicar uno de mis aplicaciones como de código abierto y desea firmar digitalmente los archivos binarios que he creado con mi propio certificado. (Por supuesto, cualquier otra persona solo puede descargar el código y construir ellos mismos con su propio certificado.) Quiero hacer esto por lo que cualquiera puede comprobar que esta construcción fue hecha por mí, no por otra persona. También quiero crear un sitio web seguro con un certificado SSL válido para que los visitantes pueden crear sus propias cuentas de una manera segura para que puedan contribuir a este proyecto.
Podría crear un certificado autofirmado, pero no me gusta mucho esa opción. O podría pagar Verisign unas pocas piezas de oro para obtener los certificados que serían válidas para sólo unos pocos años. No me gusta esa opción tampoco, ya que mi tesoro es valioso para mí.
Así que, ¿hay otras opciones? Por ejemplo, un proveedor que apoya proyectos de código abierto, ofreciendo certificados por un precio reducido? No tiene que ser libre, sólo mucho menos costoso que Verisign ...
(El proyecto se crea en C # con Visual Studio 2008 . Además un proyecto adicional en ASP.NET que quiere SSL).
Solución
Puede intentar CAcert . Con esta a obtener la certificación por otros CAcert usuarios. CAcert tiene un sistema basado en la reputación, así que si usted está certificado con la suficiente frecuencia su certificado se cuenta como válida.
Es posible que tenga que añadir CAcert como una autoridad de confianza en el sistema de destino. La firma de su auto ejecutable que debería ser una opción suficiente, pero que tendrá que proporcionar el certificado público. El uso de una autoridad conocida puede ayudar a verificar el archivo, pero creo que es más de matar en este caso utilizar una suma de comprobación o sha2 hash del archivo en combinación con su certificado auto firmado. Se podría establecer un sistema Linux como un CA sin embargo, tendrá que confiar en su certificado público.
Otros consejos
Para los desarrolladores de código abierto, Certum proporciona certificados de firma de código gratis *
Solo tienes que introducir "desarrollador de código abierto" en el campo "compañía" cuando solicitar el certificado. Eso es todo.
Enlace a abrir los certificados de firma de código fuente es aquí
[*] Desde 2016, el certificado de firma de código de fuente abierta ya no está disponible de forma gratuita. Ahora es un único servicio prestado.
Actualización: Ya no libre, ahora € 105.78 (al 19 Feb 2017). El costo es menor si usted ya tiene el hardware criptográfico. Fwiw, siguientes son las instrucciones anteriores.
El obtener un certificado de firma de código libre Certum / Unizeto por sí mismo como un individuo, siga estos pasos. Utilice Internet Explorer o Safari, ya que el apoyo del mecanismo de intercambio de claves.
-
y certificados de firma de código Open Source , y enviar el formulario.
-
El certificado aparece bajo Certificados Activar . Haga clic en Activar .
-
Utilice el Asistente de activación. Para Organización Intro Open Source desarrollador . Para unidad organizativa , introduzca Software Publishing .
-
Usted obtendrá un correo electrónico pidiendo una prueba de identidad. Responder con un enlace al proyecto de código abierto y una imagen de su licencia de conducir (u otro documento aceptado). Para proteger su privacidad, debe cifrar la respuesta. * La manera de cifrar varía según el cliente de correo electrónico. Para Outlook, asegúrese de tener un certificado de correo electrónico ( libremente disponible ), y activar el cifrado .
-
Dentro de un día o así, usted debe recibir un correo electrónico con un enlace a recoger el certificado. Usted tiene que abrir el enlace desde el mismo ordenador y navegador que utilizó para iniciar el proceso.
* Aunque el mensaje de verificación de Certum dice para enviar el comprobante a ccp@certum.pl, Certum también acepta una prueba enviada a la dirección de info@certum.pl respuesta, a la que puede enviar correo electrónico cifrado.
2016 actualización: StartCom ha sido adquirida por WoSign en circunstancias dudosas . No confiaría StartCom / WoSign. Considere el siguiente texto como nota histórica sobre lo bien StartCom era hasta principios de 2015 .
Tengo un certificado de firma de código StartCom (StartSSL). Estoy muy satisfecho con su servicio: El servicio al cliente es muy rápido, y sus precios son muy razonables
.Obtener el certificado de firma de código
Obtener un certificado de firma de código requiere Clase 2 Validación de identidad . StartCom le guía a través de todo el proceso (con excelentes tasas de respuesta, por lo general dentro de los diez minutos en mi experiencia).
Si desea obtener los detalles de la derecha a la vez, lea esta entrada de blog . Me fue validado en una hora (por un precio de 59,90 $, a través de Paypal).Después de haber sido validado, generar una nueva clave privada y una solicitud de firma de certificado (CSR). Tenga en cuenta que todos los campos excepto para la clave pública se ignoran . Toda la información en el certificado es inferido a partir de la información que proporcione durante la validación de identidad, no desde su CSR .
# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
mv codesigning2.key codesigning.key
Enviar esto a través de la interfaz web y obtendrá rápidamente un nuevo certificado que es válido por dos años (yo tengo la mía en una hora).
Problema: La firma de por vida OID
StartCom de certificados de clase 2 tienen la firma de por vida conjunto OID. Debido a este bit, la firma de código firmado no será válida después de que el certificado caduca, incluso cuando está marcado con la fecha.
Cuando pregunté Eddy Nigg (COO / CTO de StartCom) por la razón de este OID, respondió:
Se requiere de nosotros para mantener el funcionamiento de las CRL para un máximo de 20 años después de los certificados ya caducado. Esto es algo que podemos hacer por certs EV nivel (volumen mucho menor, diferentes condiciones de pago), pero aumentaría el precio de la Clase 2 sólo para este beneficio (en la que la firma de código es sólo una parte de las opciones en este nivel).
Timestamping es, pues, sólo está disponible después de validación extendida (EV), que es sólo está disponible para las organizaciones legalmente establecidas y cuesta $ 199.90. Por lo tanto, los desarrolladores individuales no pueden utilizar sellado de tiempo con un certificado de firma de código StartCom .
Durante mucho tiempo, he considerado esta limitación como un gran problema. Recientemente, he cambiado de opinión: Esto sólo ocurre una vez cada dos años, los usuarios de mente de seguridad podrían ser más propensos a conseguir la última versión de mi software y versiones antiguas del software seguirá funcionando (para aquellos que quieran utilizarlo; aunque sin una firma verificada).
Nota: Siempre marca de tiempo de su código, incluso cuando se establece el indicador de por vida de firma ! firmas con sellos de tiempo seguirán siendo válidas hasta la fecha de expiración del certificado, incluso cuando el certificado ha sido revocado (obviamente, sólo si la firma fue creada antes de que se revoque el certificado).
Uso práctico del certificado
AStartCom, que pague para su validación. La validación de la identidad tiene una validez de 350 días, y durante este período, puede solicitar los certificados de firma de código de forma gratuita. Sólo puede tener un certificado de firma de código válido, y puede ser utilizado para firmar cualquier código (MSI, DLL, XPI, ...), pero no código del controlador (esto requiere EV).
Para cambiar un atributo en el certificado, el certificado anterior debe ser revocado un uno nuevo pedido. La revocación de un certificado de costes $ 29.90. Aunque cuando he cambiado de correo electrónico un día después de recibir un certificado de firma de código, que excepcionalmente mi certificado revocado sin Gastos (me sorprendió positivamente)!
Caducidad
Cuando su certificado está a punto de expirar (después de casi dos años), se obtiene una notificación (dos semanas de antelación). Si su identidad verificada sigue siendo válido (recordar que las validaciones expiran después de 350 días; entonces usted tiene que confirmar su identidad de nuevo por $ 59.90), usted puede solicitar un nuevo certificado sin revocar la anterior. No se olvide de publicar una nueva versión de su software que ha firmado con este nuevo certificado de firma de código, ya que las versiones anteriores pronto mostrará "(no verificado)" o algo similar.
OCSP
Cuando recibí mi certificado, firmé mi Firefox. Sin embargo, todavía se mostró "(Autor no verificado)", a pesar de que mi archivo XPI fue firmado correctamente. Resultó que Firefox no consiguió el estado del certificado actual cuando se preguntó a los servidores OCSP de StartCom para el estado de revocación de mi nuevo certificado. tema del foro posiblemente relevante
Después de aproximadamente un día y medio, mi certificado era conocida por los servidores OCSP y mi nombre apareció como se esperaba. Lección aprendida:. Cuando tienes un nuevo certificado, espere alrededor de un día antes de la publicación de su software con la nueva firma
Se puede echar un vistazo al StartSSL producto.
Usted tendrá que comprar un certificado de firma de código. Los más económicos son de Comodo. He publicado el código fuente y los binarios, como a planificar, y firmado los binarios. Consulte cambiador de lote tiempo para fotos y otros archivos .
