Código certificado de assinatura para projetos de código aberto?

Question

Eu quero publicar um de meus aplicativos como código-fonte aberto e quer assinar digitalmente os binários que eu criei com o meu próprio certificado. (Claro, ninguém pode apenas baixar o código e construir-se com seu próprio certificado.) Eu quero fazer isso para que qualquer pessoa pode verificar que esta compilação foi feita por mim, não por outra pessoa. Eu também quero criar um site seguro com um certificado SSL válido para que os visitantes podem criar suas próprias contas de forma segura para que eles possam contribuir para este projecto.

Eu poderia criar um certificado auto-assinado, mas eu realmente não gosto dessa opção. Ou eu poderia pagar Verisign algumas peças de ouro para obter os certificados que seria válido por apenas alguns anos. Eu não gosto que a opção seja, desde o meu tesouro é valioso para mim.

Então, existem outras opções? Por exemplo, um provedor que projectos suportes open-source, oferecendo certificados por um preço reduzido? Ele não tem que ser livre, apenas muito menos caro do que Verisign ...

(o projeto é criado em C # com Visual Studio 2008 . Além disso, um projeto adicional em ASP.NET que quer SSL).

Answer 1

Você pode tentar CAcert . Com isso, você obter a certificação por outros CAcert-usuários. CAcert tem um sistema baseado em reputação, por isso, se você está certificada com bastante frequência o seu certificado é contado como válido.

Você pode ter que adicionar CAcert como uma autoridade confiável no sistema de destino. Auto assinar o executável deve ser uma opção suficiente, mas você terá de fornecer o certificado público. Usando uma autoridade conhecida pode ajudar a verificar o arquivo, mas eu acho que é mais matar, neste caso, o uso de uma soma de verificação ou SHA2 hash do arquivo em combinação com o seu certificado auto-assinado. Você pode configurar uma caixa de linux como um CA no entanto eles terão de confiar no seu certificado público.

Answer 2

Para os desenvolvedores de código aberto, certum fornece certificados de assinatura de código gratuitamente *

Apenas digite "developer open source" no campo "empresa" quando você solicitar o certificado. É isso.

Link para certificados de assinatura de código-fonte aberto é aqui

[*] A partir de 2016, o certificado de assinatura de código aberto Fonte já não está disponível para livre. É agora um único serviço pago.

Answer 3

Update: Não mais livre, agora € 105,78 (a partir de 19 fevereiro de 2017). O custo é menor se você já possui o seu hardware de criptografia. FWIW, a seguir estão as instruções anteriores.

---

O obter um certificado livre de assinatura de código de certum / Unizeto para si mesmo como um indivíduo, siga estes passos. Use o Internet Explorer ou Safari, uma vez que suportam o mecanismo de troca de chaves.

1. teste de identificação e código OpenSource certificados de Assinatura , e enviar o formulário.

2. O certificado aparecerá sob Activar Certificados . Clique em Ativar .

3. Vá até o assistente de ativação. Para Organização digite Open Source desenvolvedor . Para Unidade Organizacional , insira Software Publishing .

4. Você receberá um e-mail pedindo para prova de identidade. Responder com um link para o projeto de código aberto e uma imagem de sua carteira de motorista (ou outro documento aceite). Para proteger sua privacidade, você deve criptografar a resposta. ^* A maneira de criptografar varia de acordo com o cliente de e-mail. Para o Outlook, verifique se você tem um certificado de correio electrónico ( livremente disponível ) e ativar a criptografia .

5. Dentro de um dia ou assim, você deverá receber um email com um link para recolher o seu certificado. Você tem que abrir o link a partir do mesmo computador e browser que utilizou para iniciar o processo.

_{* Embora o e-mail de verificação de certum diz para enviar a prova para ccp@certum.pl, certum também aceita enviado prova em info@certum.pl endereço de resposta, para o qual você pode enviar e-mail criptografados.}

Answer 4

2016 update: Red Hat foi adquirida pela WoSign sob circunstâncias questionáveis . Eu não confiaria Red Hat / WoSign. Considere o abaixo do texto como uma nota histórica sobre o quão bom Red Hat foi até início de 2015 .

Eu tenho um certificado de assinatura de código de Red Hat (startssl). Estou muito satisfeito com seu serviço:. Seu serviço ao cliente é muito rápido, e seus preços são muito razoável

Obter o certificado de assinatura de código

Conseguir um certificado de assinatura de código requer Classe 2 Identidade Validação . Red Hat guias você através de todo o processo (com taxas de resposta excelentes, geralmente dentro de dez minutos na minha experiência).
Se você deseja obter o direito de detalhes de uma vez, leia este post " title =". I foi validado dentro de uma hora (para uma taxa de 59.90 $, via Paypal).

Depois de ter sido validado, gerar uma nova chave privada e uma solicitação de assinatura de certificado (CSR). Note que todos os campos, exceto para a chave pública são ignorados . Todas as informações no certificado é inferida a partir das informações que você fornecer durante a validação de identidade, não do seu CSR .

# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
    mv codesigning2.key codesigning.key

Envie este através da interface web e você vai rapidamente obter um novo certificado é válido por dois anos (eu tenho o meu dentro de uma hora).

Issue: Assinatura vitalícia OID

O Red Hat classe 2 certificados têm a Lifetime assinatura conjunto OID. Devido a isso pouco, a assinatura de código assinado se tornará inválido após o certificado expirar, mesmo quando está timestamped.

Quando perguntei Eddy Nigg (COO / CTO da Red Hat) para a razão deste OID, ele respondeu:

Ela exige de nós para manter as CRLs que operam por até 20 anos após os certificados já expiraram. Isso é algo que podemos fazer para as CERT nível EV (volume muito menor, diferentes condições de pagamento), mas iria aumentar o preço para Classe 2 apenas para este benefício (onde a assinatura de código é apenas uma parte das opções neste nível).

Timestamping é, portanto, só está disponível depois Extended Validation (EV), que é só está disponível para organizações legalmente estabelecidas e custa 199,90 $. Então, desenvolvedores individuais não pode usar timestamping com um certificado de assinatura de código de Red Hat .

Por um longo tempo, eu considerei essa limitação como um grande problema. Recentemente, mudei de idéia: Isso só acontece uma vez a cada dois anos, os usuários de segurança de espírito pode ser mais inclinado para obter a última versão do meu software e versões antigas do software irá funcionar ainda (para quem quiser usá-lo; embora sem uma assinatura verificada).

Nota: sempre timestamp seu código, mesmo quando a bandeira assinatura vitalícia está definido ! assinaturas timestamped será válida até a data de validade do certificado, mesmo quando o certificado foi revogado (obviamente, apenas se a assinatura foi criada antes que o certificado foi revogado).

Uso prático de certificado

NoRed Hat, você só paga para validação. A validação de identidade é válido por 350 dias, e durante este período, você pode solicitar certificados de assinatura de código livre. Você só pode ter um certificado de assinatura de código válido, e pode ser usado para assinar qualquer código (MSI, DLL, XPI, ...), mas não o código do driver (isto requer EV).

Para alterar um atributo no certificado, o certificado anterior deve ser revogado uma um novo pedido. Revogação de um certificado custa 29,90 $. Embora quando eu mudei de e-mail um dia depois de obter um certificado de assinatura de código, eles excepcionalmente revogado meu certificado sem dinheiro (I foi surpreendido positivamente)!

expiração

Quando seu certificado está prestes a expirar (depois de quase dois anos), você recebe uma notificação (duas semanas antes). Se a sua identidade verificada ainda é válido (lembrar que validações expiram após 350 dias; então você tem que confirmar a sua identidade novamente por 59.90 $), você pode solicitar um novo certificado sem revogar o anterior. Não se esqueça de publicar uma nova versão do seu software que está assinado com este novo certificado de assinatura de código, porque as versões anteriores, em breve mostrar "(não verificado)" ou algo similar.

OCSP

Quando recebi meu certificado, eu assinei o meu Firefox add-on. No entanto, ele ainda mostrou "(Autor não verificado)", embora meu arquivo XPI foi assinado corretamente. Descobriu-se que o Firefox não conseguiu o status do certificado atual quando consultado os servidores OCSP da Red Hat para o status de revogação de meu novo certificado. ^{possivelmente tópico de fórum relevantes}

Depois de cerca de um dia metade, meu certificado era conhecido pelos servidores OCSP, e meu nome apareceu como esperado. Lição aprendida:. Quando você tem um novo certificado, espera cerca de um dia antes de publicar seu software com a nova assinatura

Answer 5

Você poderia ter um olhar a startssl produto.

Answer 6

Você também pode verificar KSoftware . Eles revender Comodo código certificados de assinatura de US $ 99 / ano.

Answer 7

Você terá que comprar um certificado de assinatura de código. Os mais baratos são de Comodo. Eu publiquei o código fonte e binários, como você planeja, e assinou os binários. Veja Data & tempo trocador de lote para fotos e outros arquivos .