Бесплатный Code signing для Open Source от Certum

Запустив сегодня программу, описанную в статье, я увидел следующее предупреждение:

Бросается в глаза необычный префикс, Open source developer. Кроме того, несколько дней назад я уже видел точно такой же префикс, с другим именем. Напрашивается вывод, что, скорее всего, существует какая-то программа выдачи подобных сертификатов.

Несложный поиск показал следующее:

Как известно, пренебрегать безопасностью не стоит. (Если кто не в курсе: цифровая подпись файла защищает его от несанкционированных изменений. Сертификат удостоверяет, что автор подписанного файла — это вы, и никто другой.)

В современном мире практически невозможно встретить программу от крупного вендора без цифровой подписи. Все больше моих знакомых начинает обращать внимание на наличие ЦП у запускаемой или устанавливаемой программы, благодаря тому, что Windows выводит эту информацию (см. КДПВ).

На Хабре затрагивали тему подписывания кода несколько раз: общий обзор, советы по упрощению процедуры. Не так давно рассматривался вариант от StartSSL, тем не менее, требующий подтверждения личности class 2 (в терминах StartSSL), уже являющейся платной (в отличие от бесплатной class 1 для доменов).

Сумма в 60-500 долларов — не деньги для хоть сколько-нибудь крупной компании. Но как быть в случае с Open Source? Зачастую подобные проекты (если речь не идет об именах, которые у всех на слуху) не имеют достаточного финансирования либо разрабатываются исключительно на энтузиазме и других нематериальных ценностях.

Для таких случаев можно воспользоваться предложением от польской компании Certum:

Для этого необходимо зарегистрироваться (форма доступна также на русском языке) и отослать на email следующие документы:

• Копия ID карты / паспорта / водительского удостоверения и пр, с указанием даты на копии, пометкой „I hereby confirm compliance with the original”, датой и личной подписью (подробнее — на сайте).


• Адрес страницы Open Source продукта. Компания предупреждает, что проверка производится на основе общедоступной информации, поэтому проект должен быть представлен в сети.

Как видим, процедура достаточно простая и не занимает много времени (по заявлениям компании — до 24 часов).

Для сертификатов заявляется следующее (перевел только существенные пункты, полную версию см. на сайте):

• Упрощенная процедура идентификации личности


• Соответствие WebTrust^SM/TM


• Корневой сертификат CERTUM входит в список доверенных во всех популярных браузерах и продуктах Microsoft


• Выдача в течение 24 часов после проверки


• Хэш SHA1 (на 04.11.2014). Скорее всего, в ближайшем будущем будет предлагаться SHA2.


• Подпись для расширений .docm, xlsm, .pptm, .xpi, .jar, .war, .ear, exe, .dll, .ocx, .cab, .msi.


• Бесплатные отзыв или перевыпуск


• Возможность хранения ключа на smart card


• Бесплатный time stamp


• Possible internal and external signatures creation


• Среди поддерживаемых продуктов: MS Office 2000+, ToolSign.sh и openSSL for UNIX/Linux, Firefox, Key Manager, Jarsigner and verifier из Java JDK 1.5+, SignTool, SignCode, Visual Studio Express


• Поддержка certificate revocation list (CRL) и Online Certificate Status Protocol (OCSP)


• Срок выдачи: 1 год


• Техподдержка 24h


• Рекомендуемая длина ключа 2048 – 4096 бит, минимальная: RSA/DSA — 2048 бит, EC — 571 бит (NIST K-571 и NIST B-571).

Похоже, что безопасность становится трендом, и появляется все больше некоммерческих предложений в разных сферах. Интересно, что нам предложат следующим?

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.