Certificado de assinatura de código para projectos de código aberto?

quero publicar uma das minhas aplicações como código aberto e quero assinar digitalmente os binários que criei com o meu próprio certificado. (Claro, qualquer um pode apenas baixar o código e construí-lo com o seu próprio certificado.) Eu quero fazer isso para que qualquer um possa verificar que esta construção foi feita por mim, não por outra pessoa. Eu também quero criar um site seguro com um certificado SSL válido para que os visitantes possam criar suas próprias contas de uma forma segura para que eles possam contribuir para projecto.

Podia criar um certificado autossignado, mas não gosto dessa opção. Ou eu poderia pagar à Verisign algumas peças de ouro para obter os certificados que seriam válidos por apenas alguns anos. Também não gosto dessa opção, já que o meu tesouro é valioso para mim.

Então, há outras opções? Por exemplo, um provedor que suporta projetos de código aberto oferecendo certificados por um preço reduzido? Não tem de ser grátis, mas muito menos caro do que Verisign...

(o projecto foi criado em C# com Visual Studio 2008 . Mais um projecto adicional em ASP.NET isso quer SSL.)

Author: Edward Brey, 2009-07-24
Source

7 answers

Podes tentar CAcert . Com isso você é certificado por outros CAcert-usuários. CAcert tem um sistema baseado na reputação, por isso, se você for Certificado muitas vezes o seu certificado é contado como válido.

Pode ter de adicionar CAcert como uma autoridade de confiança no sistema alvo. A auto-assinatura do seu executável deve ser uma opção suficiente, mas você terá que fornecer o certificado público. Usar uma autoridade conhecida pode ajudar a verificar o arquivo, mas eu acho que é sobre matar neste caso use um código de validação ou hash sha2 do ficheiro em combinação com o seu certificado assinado por si próprio. Você pode configurar uma caixa linux como uma CA, no entanto eles precisarão confiar em seu certificado público.

 7
Author: Mnementh, 2015-01-06 03:36:24

Para os programadores de código aberto, O Certum fornece certificados de assinatura de código gratuitamente*

Basta inserir "programador de código aberto" no campo "empresa" quando você pede o certificado. É isso.

A ligação para os certificados de assinatura de código aberto é aqui

[ * ] a partir de 2016, o certificado de assinatura do código aberto já não está disponível gratuitamente. É agora um serviço pago apenas.

 36
Author: Stefan, 2016-02-16 18:00:27

Actualização: já não está livre, agora €105.78 (a partir de 19 de Fevereiro de 2017). O custo é menor se você já possui seu hardware criptográfico. FWIW, a seguir estão as instruções anteriores.

A obtenção de um certificado de assinatura de Código gratuito de Certum/Unizeto para si como um indivíduo, siga estes passos. Use Internet Explorer ou Safari, uma vez que eles suportam o mecanismo de troca chave.

  1. Procurar em O ID de teste e os certificados de assinatura do Código do OpenSource , e entrega o formulário.

  2. O certificado irá aparecer em activar os certificados . Carregue Em Activar .

  3. Passa pelo Assistente de activação. Para organização indique programador de código aberto . Para Unidade Organizacional, enter edição de Software .

  4. Vais receber um e-mail a pedir provas de identidade. Responder com um link para o projeto open source e uma imagem da sua carta de condução (ou outro documento aceite). Para proteger sua privacidade, você deve criptografar a resposta.* a forma de encriptar varia de cliente de E-mail. Para o Outlook, certifique-se que tem um certificado de E-mail (disponível gratuitamente), e ligue a encriptação.

  5. Dentro de um dia ou mais, você deve receber um e-mail com um link para recolher o seu certificado. Você tem que abrir o link do mesmo computador e navegador que você usou para iniciar o processo.

* Embora o e-mail de verificação do Certum diga para enviar a prova para {[[0]}, o Certum também aceita a prova enviada para o endereço de Resposta [email protected], para o qual poderá enviar um e-mail encriptado.

 28
Author: Edward Brey, 2017-07-03 12:00:26

2016 actualização: o StartCom foi adquirido pelo WoSign em circunstâncias questionáveis. Não confiaria no StartCom / WoSign. Considere o texto abaixo como uma nota histórica sobre como o StartCom foi bom. até o início de 2015 .

Tenho um certificado de assinatura de código de StartCom (StartSSL). Estou muito satisfeito com o seu serviço: o seu serviço ao cliente é muito rápido, e os seus preços são muito razoáveis.

A obter o certificado de assinatura de código

Obter um certificado de assinatura de código requer validação de identidade da classe 2. A StartCom orienta - o em todo o processo (com excelentes taxas de resposta, geralmente dentro de 10 minutos na minha experiência).
Se você quiser obter os detalhes direito de uma vez, leia Este post no blog . Eu fui validado dentro de uma hora (por uma taxa de 59.90 $, via Paypal).

Depois de validado, gera uma nova chave privada e um Pedido de assinatura do certificado (RSE). Note que todos os campos excepto a chave pública são ignorados . Toda a informação contida no certificado é deduzida da informação que fornece durante a validação da identidade, e não da sua RSE. 
# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
    mv codesigning2.key codesigning.key

Envie isto através da interface web e obterá rapidamente um novo certificado válido por dois anos (recebi o meu dentro de uma hora).

Número: assinatura vitalícia

Startcom'S class 2 os certificados têm o conjunto de sinais de vida. Por causa deste bit, a assinatura do código assinado ficará inválida após a expiração do certificado, mesmo quando ele é apertado no tempo.

Quando perguntei a Eddy Nigg (COO / CTO da StartCom) por causa deste DIP, ele respondeu:

Isto exige de nós que mantenhamos os CRLs a funcionar até 20 anos depois de os certificados já expirarem. Isto é algo que podemos fazer para certs nível EV (muito menor volume, pagamento diferente termos) mas aumentaria o preço para a classe 2 apenas para este benefício (onde a assinatura de código é apenas parte das opções neste nível).
{[[2]} a datação só está, portanto, disponível após validação alargada (EV), que é apenas disponível para organizações legalmente estabelecidas e custa 199,90 $. Então, os programadores individuais não podem usar o timestamping com um certificado de assinatura de código do StartCom . Durante muito tempo, considerei esta limitação como uma grande problema. Recentemente, eu mudei de idéia: isso só acontece uma vez a cada dois anos, usuários de mente de segurança podem estar mais inclinados a obter a versão mais recente do meu software, e versões antigas do software ainda vai funcionar (para aqueles que querem usá-lo, embora sem uma assinatura verificada).

Nota: marca sempre a hora do teu código, mesmo quando a bandeira de assinatura ao longo da vida está definida ! As assinaturas com prazos de validade permanecem válidas até à data de validade do certificado, mesmo quando o certificado tiver foi revogada (obviamente, apenas se a assinatura foi criada antes da revogação do certificado).

Utilização prática do certificado

No StartCom, só se paga a validação. A validação de identidade é válida por 350 dias, e durante este período, Você pode solicitar certificados de assinatura de código gratuitamente. Você só pode ter um certificado de assinatura de código válido, e ele pode ser usado para assinar qualquer código (MSI, DLL, XPI,...) mas não código de driver (isto requer EV).

To alterar um atributo no certificado, o certificado anterior deve ser revogado um novo pedido. A revogação de um certificado custa 29,90 dólares. Embora quando eu mudei meu e-mail um dia depois de receber um certificado de assinatura de código, eles excepcionalmente revogaram o meu certificado sem taxa (eu fiquei positivamente surpreso)!

Termo

Quando o seu certificado está prestes a expirar (após quase dois anos), recebe uma notificação (com duas semanas de antecedência). Se a sua identidade verificada ainda é válido (lembre-se que validações expiram após 350 dias; então você tem que confirmar sua identidade novamente por 59.90$), você pode solicitar um novo certificado sem revogar o anterior. Não se esqueça de publicar um novo lançamento de seu software que está assinado com este novo certificado de assinatura de código, porque as versões anteriores em breve irão mostrar "(não verificado)" ou algo semelhante.

OCSP

Quando recebi o meu certificado, assinei o meu complemento do Firefox. No entanto, ainda mostrou " (autor não verificado)", mesmo que meu arquivo XPI foi assinado corretamente. Verificou-se que o Firefox não obteve o estado actual do certificado quando questionou os servidores OCSP do StartCom para o estado de revogação do meu novo certificado. tópico possivelmente relevante do fórum Após cerca de Meio dia, o meu certificado era conhecido dos servidores do OCSP, e o meu nome apareceu como esperado. Lição aprendida: quando você tem um novo certificado, espere cerca de um dia antes publicar o seu software com a nova assinatura.

 22
Author: Rob W, 2016-09-28 07:10:51

Podias dar uma vista de olhos ao produto StartSSL .

 8
Author: Frozenskys, 2013-08-30 15:24:36

Também pode verificar O KSoftware . Eles revendem certificados de assinatura de código por 99 dólares por ano.

 7
Author: Joe Kuemerle, 2018-04-10 14:33:54
Vai ter de comprar um certificado de assinatura de código. Os mais baratos são do Comodo. Publiquei código fonte e binários, como planeias, e assinei os binários. Veja Mudar a data e hora do lote para as fotografias e outros ficheiros.
 2
Author: Michael Haephrati, 2017-04-15 13:25:22