Code-Signing-Zertifikat für Open-Source-Projekte?

Möchte ich veröffentlichen einer meiner Anwendungen als open-source und Digital signieren möchten die Binärdateien, die ich erstellt habe mit meinem eigenen Zertifikat. (Natürlich, alle anderen können nur den download-code und bauen Sie es sich selber mit Ihrem eigenen Zertifikat.) Ich möchte dies machen, damit jeder überprüfen kann, dass dieser build wurde von mir gemacht, nicht die von jemand anderem. Ich möchte auch eine sichere website mit einem gültigen SSL-Zertifikat, so dass die Besucher können Ihre eigenen Konten in einer sicheren Art und Weise, so dass Sie zu diesem Projekt beitragen können.

Konnte ich erstellen Sie ein selbst-signiertes Zertifikat, aber ich mag nicht wirklich diese option. Oder ich bezahlen konnte Verisign ein paar gold Stücke zu bekommen, die Zertifikate, die wäre gültig für nur ein paar Jahre. Ich mag es nicht, dass option entweder, da meine Staatskasse ist wertvoll für mich.

So, gibt es andere Optionen? Zum Beispiel einen Anbieter, der unterstützt open-source-Projekte durch das Angebot von Zertifikaten für einen reduzierten Preis? Es muss nicht kostenlos sein, nur viel weniger teuer als Verisign...

(Das Projekt erstellt wird in C# mit Visuelle Studio 2008. Plus ein weiteres Projekt in ASP.NET das will SSL.)

Kommentar zu dem Problem
Diese Frage ist Thema. Es beschreibt das problem (Wunsch, zu veröffentlichen), und was getan wurde (built app, aber nicht unterzeichnet). Sie fragt nicht nach Empfehlungen, nur die Namen von einem oder mehreren freien oder low-cost-Anbieter. Es stellt Fragen, für Antworten, die "finden" - ein off-site-Ressource, aber nicht in einer Weise, die geeignet ist, um wichtige rechthaberisch Antworten oder spam, da es nur wenige Optionen zur Verfügung. Kommentarautor: Edward Brey
Ich möchte darauf hinweisen, dass ich habe diese Frage gestellt, fast 8 Jahre jetzt. Heute gibt es ein paar mehr Optionen bereits aber die Zuverlässigkeit ist immer ein problem. Es gibt auch viele Kostenlose Optionen für SSL-und web-Entwicklung als auch code signing-Zertifikate sind noch selten... Kommentarautor: Wim ten Brink
Ach LetsEncrypt wird nicht unterstützt code-signing-Zertifikate. Mitte 2018, billigste, was ich finden kann, ist Comdo codesigncert für $59 pro eine. Es wäre viel einfacher, wenn Regierungen ausgestellt, die alle Bürger / Themen mit einem code-signing-cert als nationale ID Nummer... aber dann würde ich gezwungen sein, Vertrauen meiner Regierung Kommentarautor: earcam

InformationsquelleAutor der Frage Wim ten Brink | 2009-07-24

  1. 6

    Können Sie versuchen,CAcert. Mit dieser Zertifizierung, die von anderen CAcert-Benutzer. CAcert hat ein Ruf-system basiert, so dass, wenn Sie zertifiziert sind, oft genug Ihr Zertifikat als gültig gezählt.

    Sie haben können, um CAcert als Vertrauenswürdige Zertifizierungsstelle, die auf dem Zielsystem. Selbst signieren von ausführbaren sollte eine ausreichende option, aber müssen Sie das öffentliche Zertifikat. Über eine bekannte Autorität kann helfen, überprüfen Sie die Datei, aber ich denke, es ist vorbei töten, in diesem Fall die Verwendung einer Prüfsumme oder sha2-hash der Datei in Kombination mit Ihren selbst signiertes Zertifikat. Man könnte die Einrichtung einer linux-box als CA aber Sie müssen Vertrauen zu Ihrem öffentlichen Zertifikat.

    InformationsquelleAutor der Antwort Mnementh

  2. 35

    Für open-source-Entwickler, Certum bietet code-signing-Zertifikate kostenlos*

    Geben Sie einfach "open-source-Entwickler" in der "Firma" - Feld, wenn Sie
    das Zertifikat anzufordern. Das ist es.

    Link zu open-source-code-signing-Zertifikate ist hier

    [*] Ab 2016, die Open-Source-Code-Signing-Zertifikat ist nicht mehr kostenlos verfügbar. Es ist nun ein Kostenpflichtiger Dienst nur.

    InformationsquelleAutor der Antwort Stefan

  3. 28

    Update: Nicht mehr kostenlos, jetzt €105.78 (B. 19 Feb 2017). Die Kosten weniger, wenn Sie bereits ein eigenes Krypto-hardware. FWIW, sind die vorherigen Anweisungen.

    Den erhalten Sie eine Kostenlose code-signing-Zertifikat von Certum/Unizeto für sich selbst als Einzelperson, gehen Sie folgendermaßen vor. Verwenden Sie Internet Explorer oder Safari, da Sie die Unterstützung der key-exchange-Mechanismus.

    1. Durchsuchen Test-ID und OpenSource Code Signing-Zertifikate, und das Formular Absenden.

    2. Dem Zertifikat erscheint unter Aktivieren Zertifikate. Klicken Sie Auf Aktivieren.

    3. Gehen Sie durch die Aktivierung Assistenten. Für Organisation geben Sie Open-Source-Entwickler. Für Organisationseinheit, geben Sie Software Publishing.

    4. Erhalten Sie eine email mit der bitte um Nachweis der Identität. Antwort mit einem link zu der open-source-Projekt und ein Bild Ihres Führerscheins (oder einem anderen anerkannten Dokument). Um Ihre Privatsphäre zu schützen, sollten Sie verschlüsseln die Antwort.* Der Weg zum verschlüsseln variiert je nach E-Mail-client. Für Outlook, sicherzustellen, dass Sie ein E-Mail Zertifikat (frei verfügbar), und die Verschlüsselung einzuschalten.

    5. Innerhalb eines Tages oder so, sollten Sie erhalten eine E-Mail mit einem link zu sammeln, die Ihr Zertifikat. Sie öffnen den link von dem gleichen computer und browser verwendet, um den Prozess zu starten.

    * Obwohl die Bestätigungs-E-Mail von Certum sagt zu senden, den Beweis zu [email protected], Certum auch akzeptiert Beweis geschickt, um die Antwort-Adresse [email protected], zu denen Sie verschlüsselte E-Mails senden.

    InformationsquelleAutor der Antwort Edward Brey

  4. 22

    2016 update: StartCom wurde erworben von WoSign unter fragwürdigen Umständen. Ich würde nicht Vertrauen, StartCom/WoSign. Betrachten Sie den untenstehenden text als historischen Hinweis auf, wie gut StartCom war bis Anfang 2015.

    Habe ich ein code signing Zertifikat von StartCom (StartSSL). Ich bin sehr zufrieden mit Ihrem service: Ihre Kunden-service ist sehr schnell, und Ihre Preise sind sehr vernünftig.

    Immer die code-signing-Zertifikat

    Immer ein code-signing-Zertifikat benötigt Class 2 Identity Validation. StartCom führt Sie durch den gesamten Prozess (mit ausgezeichnetem response-raten, in der Regel innerhalb von zehn Minuten in meiner Erfahrung).

    Wenn Sie möchten, um die details gleich auf einmal Lesen in diesem blog-post. Ich wurde validiert, innerhalb von einer Stunde (für eine Gebühr in Höhe von 59.90 $, per Paypal).

    Nachdem überprüft wird, erzeugen eines neuen privaten Schlüssel und ein Certificate Signing Request (CSR). Beachten Sie, dass alle Felder außer für die öffentlichen Schlüssel werden ignoriert. Alle Informationen in das Zertifikat ist Schlussfolgerung aus den Informationen, die Sie während Identität-Validierung, die sich nicht von Ihrem CSR -.

    # Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
    mv codesigning2.key codesigning.key

    Reichen Sie diese über das web-interface an und Sie werden schnell ein neues Zertifikat, das für zwei Jahre gültig (ich habe mir innerhalb einer Stunde).

    Problem: die Lebensdauer der Unterzeichnung OID

    StartCom s class 2-Zertifikate die Lebensdauer der Unterzeichnung OID set. Da dieses bit, die Signatur der signierten code wird ungültig, wenn das Zertifikat abgelaufen ist, auch wenn es Zeitstempel.

    Als ich fragte Eddy Nigg (COO/CTO von StartCom) nach dem Grund für diese OID, antwortete er:

    Erfordert es von uns zu halten, um die CRLs, die für bis zu 20 Jahre nachdem die Zertifikate bereits abgelaufen ist. Dies ist etwas, das wir tun können, für die EV-Stufe certs (viel weniger Volumen, verschiedene Zahlungsbedingungen), würde aber den Preis erhöhen, den für die Klasse 2 nur für diese Leistung (wo signieren von code ist nur ein Teil der Möglichkeiten in diesem level).

    Zeitstempel ist somit nur verfügbar, nachdem Sie Extended Validation (EV), die nur rechtlich etablierten Organisationen und kostet 199.90 $. So, einzelner Entwickler Sie nicht nutzen können-Zeitstempelung mit einem code signing-Zertifikat von StartCom.

    Für eine lange Zeit, als ich diese Einschränkung als ein großes Problem. Vor kurzem habe ich meine Meinung geändert: Es passiert nur einmal alle zwei Jahre, sicherheitsbewussten Benutzer möglicherweise eher geneigt sein, um die aktuelle version meiner software, und die alten Versionen von der software immer noch funktionieren (für diejenigen, die wollen, es zu benutzen; aber ohne eine verifizierte Signatur).

    Hinweis: Immer Zeitstempel code, auch wenn die Lebensdauer der Unterzeichnung flag gesetzt ist! Zeitstempel-Signaturen gültig bleiben, bis das Ablaufdatum des Zertifikats, selbst wenn das Zertifikat widerrufen wurde (natürlich nur, wenn die Signatur erstellt wurde, bevor das Zertifikat widerrufen wurde).

    Praktische Verwendung von Zertifikat

    Bei StartCom, Sie zahlen nur für die Validierung. Die Identität Validierung gilt für die 350 Tage, und während dieser Zeit, können Sie anfordern, code signing-Zertifikate für frei. Sie können nur eine gültige code-signing-Zertifikat, und es kann verwendet werden, um Zeichen beliebiger code (MSI -, DLL -, XPI, ...), aber keine Treiber-code (erfordert EV).

    Ändern eines Attributs im Zertifikat, die Vorherige Zertifikat muss widerrufen werden, eine eine neue angefordert. Widerruf eines Zertifikats kostet 29.90 $. Obwohl, wenn ich änderte meine E-Mail ein Tag nachdem ich ein code signing-Zertifikat, das Sie ausnahmsweise widerrufen meine Bescheinigung ohne Gebühr (ich war positiv überrascht)!

    Ablauf

    Wenn Ihr Zertifikat abgelaufen ist (nach fast zwei Jahren), erhalten Sie eine Benachrichtigung (zwei Wochen im Voraus).
    Wenn deine Identität verifiziert ist, noch gültig sind (daran erinnern, dass Validierungen laufen nach 350 Tagen; dann haben Sie, um Ihre Identität zu bestätigen wieder für 59.90$), können Sie verlangen ein neues Zertifikat ohne den Widerruf von der vorherigen. Vergessen Sie nicht, die Veröffentlichung einer neuen Version der software, signierte mit dieser neuen code-signing-Zertifikat, weil die früheren Versionen wird sich bald zeigen "(nicht überprüft)" oder etwas ähnliches.

    OCSP -

    Erhielt ich mein Zertifikat, ich habe mein Firefox-add-on. Allerdings ist es immer noch zeigte "(Autor nicht verifiziert)", auch wenn mir die XPI-Datei wurde ordnungsgemäß unterzeichnet. Es stellte sich heraus, dass Firefox nicht das aktuelle Zertifikat-status, wenn es abgefragt, die OCSP-Server von StartCom für den Sperrstatus mein neues Zertifikat. möglicherweise einschlägigen Foren-Thema

    Nach etwa einem halben Tag, mein Zeugnis war bekannt, dass die Online-zertifikatstatusprotokoll-Server, und mein name auftauchte, als erwartet. Lektion gelernt: Wenn man ein neues Zertifikat, warten Sie etwa einen Tag vor der Veröffentlichung von software mit der neuen Signatur.

    InformationsquelleAutor der Antwort Rob W

  5. 8

    Haben, könnten Sie einen look, der StartSSL Produkt.

    InformationsquelleAutor der Antwort Frozenskys

  6. 7

    Können Sie auch überprüfen,KSoftware. Sie weiterverkaufen Comodo code signing-Zertifikate für US$99/Jahr.

    InformationsquelleAutor der Antwort Joe Kuemerle

  7. 2

    Werden Sie brauchen, um zu kaufen ein code-signing-Zertifikat. Die billigsten sind von Comodo. Ich habe veröffentlicht source-code und Binärdateien, wie Sie planen und signierte Binärdateien. Sehen Datum & Zeit, batch-wechsler für Fotos und andere Dateien.

    InformationsquelleAutor der Antwort Michael Haephrati

Schreibe einen Kommentar