オープンソース プロジェクトのコード署名証明書?

Question

アプリケーションの 1 つをオープンソースとして公開し、作成したバイナリに独自の証明書を使用してデジタル署名したいと考えています。(もちろん、他の人はコードをダウンロードして、自分の証明書を使用して自分でビルドすることもできます。) これを実行して、このビルドが他の人ではなく私によって作成されたことを誰でも確認できるようにしたいと考えています。また、有効な SSL 証明書を使用して安全な Web サイトを作成し、訪問者が安全な方法で自分のアカウントを作成して、このプロジェクトに貢献できるようにしたいと考えています。

自己署名証明書を作成することもできますが、私はそのオプションがあまり好きではありません。あるいは、Verisign に数枚の金貨を支払って、わずか数年間有効な証明書を入手することもできます。私にとって国庫は貴重なものなので、その選択肢も好きではありません。

それで、他に選択肢はありますか？たとえば、割引価格で証明書を提供することでオープンソース プロジェクトをサポートするプロバイダーはいますか?無料である必要はありませんが、Verisign よりもはるかに安価であるだけです...

(プロジェクトは C# で作成されます ビジュアル スタジオ 2008. 。さらに、SSL を必要とする ASP.NET の追加プロジェクト)。

Answer 1

あなたは CAcert を試すことができます。これを使用すると、他のCAcert、ユーザーによって認定を受けます。 CAcertは、レピュテーションベースのシステムを持っているので、あなたは、多くの場合、十分に認定されている場合は、あなたの証明書は有効なものとしてカウントされます。

あなたは、ターゲットシステム上の信頼された機関としてCAcertを追加する必要があります。あなたの実行ファイルに署名セルフで十分選択肢でなければなりませんが、あなたは、公共の証明書を提供する必要があります。知られている権限を使用すると、ファイルを確認するのに役立ちますが、私はそれはあなたの自己署名証明書との組み合わせで、ファイルのチェックサムまたはSHA2ハッシュを使用し、この場合にキルを超えていると考えることができます。あなたは彼らがあなたのパブリック証明書を信頼する必要がありますがCAとしてLinuxボックスを設定することができます。

Answer 2

オープンソース開発者にとって、 Certumする *自由のためのコード署名証明書<ストライキ>を提供して

ときに

ただ、「会社」欄に「オープンソース開発者」と入力します 証明書を要求します。それはそれだ。

ソースコード署名証明書を開くためのリンクがあるここを

[*]開始2016年、オープンソースのコード署名証明書が無料で使用できなくなりました。それは今支払っただけのサービスです。

Answer 3

アップデート：もう無料ではなくなりました €105.78 (2017 年 2 月 19 日現在)。すでに暗号化ハードウェアを所有している場合、コストは安くなります。FWIW、以下は前の手順です。

---

無料のコード署名証明書を次のサイトから取得します。 サータム/ユニゼト 個人としては、次の手順に従ってください。Internet Explorer または Safari はキー交換メカニズムをサポートしているため、これらを使用してください。

1. 参照する テスト ID とオープンソース コード署名証明書, をクリックしてフォームを送信します。

2. 証明書は以下に表示されます 証明書のアクティブ化. 。クリック 活性化.

3. アクティベーション ウィザードを実行します。のために 組織 入力 オープンソース開発者. 。のために 組織単位, 、 入力 ソフトウェアの公開.

4. 身元証明を求めるメールが届きます。オープンソース プロジェクトへのリンクと運転免許証 (またはその他の承認された文書) の画像を添付して返信してください。プライバシーを保護するには、返信を暗号化する必要があります。^* 暗号化の方法はメールクライアントによって異なります。Outlook の場合は、電子メール証明書 (無料で利用可能）、 そして 暗号化をオンにする.

5. 1 日程度以内に、証明書を収集するためのリンクが記載された電子メールが届きます。プロセスの開始に使用したのと同じコンピュータおよびブラウザからリンクを開く必要があります。

_{* Certum からの確認メールには証明を送信するよう記載されていますが、 ccp@certum.pl, Certum は返信アドレスに送信された証明も受け付けます。 info@certum.pl, 、暗号化された電子メールを送信できます。}

Answer 4

2016 年の更新:StartCom が WSign に買収されました 疑わしい状況下で. 。私は StartCom/WoSign を信用しません。以下のテキストは、StartCom の優れた点に関する歴史的なメモとして考えてください。 だった 2015年初頭まで.

コード署名証明書を取得しました スタートコム (SSLを開始)。彼らのサービスには非常に満足しています:顧客サービスは非常に迅速で、価格は非常にリーズナブルです。

コード署名証明書の取得

コード署名証明書を取得するには次のものが必要です クラス 2 の ID 検証. 。StartCom はプロセス全体をガイドします (私の経験では、通常 10 分以内に応答率が優れています)。
詳細をすぐに知りたい場合は、お読みください このブログ投稿. 。1 時間以内に認証されました (Paypal 経由で 59.90 ドルの手数料がかかります)。

検証後、新しい秘密キーと証明書署名要求 (CSR) を生成します。ご了承ください 公開キーを除くすべてのフィールドは無視されます. 。証明書内のすべての情報は、 CSR からではなく、本人確認中に提供した情報から推測されます.

# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
    mv codesigning2.key codesigning.key

これを Web インターフェイス経由で送信すると、2 年間有効な新しい証明書がすぐに取得できます (私の場合は 1 時間以内に取得しました)。

問題：生涯署名 OID

StartCom のクラス 2 証明書には、ライフタイム署名 OID セットが含まれています。このビットのため、署名付きコードの署名は、証明書の有効期限が切れると、たとえタイムスタンプが付いていたとしても無効になります。

この OID の理由を Eddy Nigg (StartCom の COO/CTO) に尋ねたところ、彼は次のように答えました。

証明書の有効期限が切れた後も、CRL を最長 20 年間運用し続けることが当社に求められています。これは EV レベルの証明書 (量がはるかに少なく、支払条件が異なる) に対しては実行できますが、この利点のためだけにクラス 2 の価格が上昇することになります (コード署名はこのレベルのオプションの一部にすぎません)。

したがって、タイムスタンプは拡張検証 (EV) 後にのみ使用できます。 合法的に設立された組織のみが利用可能 価格は 199.90 ドルです。それで、 個々の開発者は、StartCom のコード署名証明書を使用してタイムスタンプを使用することはできません.

私は長い間、この制限が大きな問題だと考えていました。最近、考えが変わりました。それは 2 年に 1 度しか起こらず、セキュリティを重視するユーザーは私のソフトウェアの最新バージョンを入手する傾向があるかもしれませんし、ソフトウェアの古いバージョンも引き続き動作します (使いたい人にとっては;ただし検証済みの署名はありません）。

注記： ライフタイム署名フラグが設定されている場合でも、常にコードにタイムスタンプを付けます。！タイムスタンプ付きの署名は、証明書が失効した場合でも、証明書の有効期限が切れるまで有効です (もちろん、証明書が失効する前に署名が作成された場合に限ります)。

証明書の活用

StartCom では、検証に対してのみ料金を支払います。ID 検証は 350 日間有効で、この期間中は無料でコード署名証明書をリクエストできます。有効なコード署名証明書は 1 つだけ持つことができ、任意のコード (MSI、DLL、XPI など) の署名には使用できますが、ドライバー コード (これには EV が必要です) の署名には使用できません。

証明書の属性を変更するには、以前の証明書を取り消して、新しい証明書を要求する必要があります。証明書の失効には 29.90 ドルかかります。ただし、コード署名証明書を取得した翌日に電子メールを変更したところ、例外的に手数料なしで私の証明書が取り消されました (私は本当に驚きました)。

有効期限

証明書の有効期限が近づくと (ほぼ 2 年後)、通知が届きます (2 週間前)。検証済みの ID がまだ有効である場合 (検証は 350 日後に期限切れになることに注意してください。その後、59.90 ドルで再度本人確認を行う必要があります)、以前の証明書を取り消すことなく新しい証明書をリクエストできます。この新しいコード署名証明書で署名されたソフトウェアの新しいリリースを公開することを忘れないでください。以前のリリースには間もなく「(未検証)」または同様のメッセージが表示されるためです。

OCSP

証明書を受け取ったときに、Firefox アドオンに署名しました。ただし、XPI ファイルが正しく署名されているにもかかわらず、「(作成者は検証されていません)」と表示されました。Firefox が StartCom の OCSP サーバーに新しい証明書の失効ステータスを問い合わせたときに、現在の証明書ステータスを取得できなかったことが判明しました。 ^{関連する可能性のあるフォーラムのトピック}

約半日後、私の証明書が OCSP サーバーに認識され、私の名前が予想どおりに表示されました。学んだ教訓:新しい証明書を取得したら、新しい署名を使用してソフトウェアを公開するまで 1 日ほど待ってください。

Answer 5

あなたは StartSSL の製品を見ている可能性があります。

Answer 6

また、 KSoftware にチェックアウトすることができます。彼らは、US $ 99 /年のコモドのコード署名証明書を転売ます。

Answer 7

あなたは、コード署名証明書を購入する必要があります。最も安いものはコモドからです。私はあなたが計画するように、ソースコードやバイナリを公開して、バイナリに署名しました。 の日＆参照してください。写真やその他のファイルのための時間バッチチェンジャーのの