Certificat de signature de code pour les projets open-source ?

Question

Je souhaite publier l'une de mes applications en tant que logiciel libre et signer numériquement les binaires que j'ai créés à l'aide de mon propre certificat. (Bien entendu, tout le monde peut télécharger le code et le créer lui-même avec son propre certificat). Je veux faire cela pour que tout le monde puisse vérifier que cette compilation a été faite par moi, et non par quelqu'un d'autre. Je souhaite également créer un site web sécurisé avec un certificat SSL valide afin que les visiteurs puissent créer leur propre compte de manière sécurisée et ainsi contribuer à ce projet.

Je pourrais créer un certificat auto-signé, mais je n'aime pas vraiment cette option. Je pourrais aussi payer quelques pièces d'or à Verisign pour obtenir des certificats qui ne seraient valables que quelques années. Je n'aime pas non plus cette option, car mon trésor est précieux pour moi.

Existe-t-il d'autres options ? Par exemple, un fournisseur qui soutient les projets open-source en proposant des certificats à prix réduit ? Ce n'est pas forcément gratuit, c'est juste beaucoup moins cher que Verisign...

(Le projet est créé en C# avec Visual Studio 2008 . Plus un projet supplémentaire en ASP.NET qui veut SSL).

Answer 1

Pour les développeurs de logiciels libres, Certum fournit des certificats de signature de code gratuitement *

Il suffit de saisir "développeur open source" dans le champ "entreprise" lorsque vous demander le certificat. C'est tout.

Le lien vers les certificats de signature de code open source est le suivant aquí

[À partir de 2016, le certificat Open Source Code Signing n'est plus disponible gratuitement. Il s'agit désormais d'un service payant.

Answer 2

Mise à jour : Plus de gratuité, maintenant €105.78 (en date du 19 février 2017). Le coût est moindre si vous possédez déjà leur matériel de cryptographie. FWIW, voici les instructions précédentes.

---

L'obtention d'un certificat de signature de code gratuit auprès de Certum/Unizeto pour vous-même en tant qu'individu, suivez les étapes suivantes. Utilisez Internet Explorer ou Safari, car ils prennent en charge le mécanisme d'échange de clés.

1. Parcourir jusqu'à Test ID et certificats OpenSource de signature de code et soumettre le formulaire.

2. Le certificat apparaît sous Activer les certificats . Cliquez sur Activer .

3. Passez par l'assistant d'activation. Pour Organisation entrer Développeur Open Source . Pour Unité d'organisation , entrez Édition de logiciels .

4. Vous recevrez un courriel vous demandant une preuve d'identité. Répondez en indiquant un lien vers le projet open source et une image de votre permis de conduire (ou d'un autre document accepté). Pour protéger votre vie privée, vous devez crypter votre réponse. * Le mode de cryptage varie selon le client de messagerie. Pour Outlook, assurez-vous d'avoir un certificat de messagerie ( disponible gratuitement ), et activer le cryptage .

5. Dans un délai d'un jour environ, vous devriez recevoir un courriel contenant un lien vous permettant de récupérer votre certificat. Vous devez ouvrir le lien à partir du même ordinateur et du même navigateur que celui que vous avez utilisé pour commencer la procédure.

_{* Bien que l'e-mail de vérification de Certum indique d'envoyer la preuve à code>ccp@certum.pl</code Certum accepte également les preuves envoyées à l'adresse de réponse code>info@certum.pl</code à laquelle vous pouvez envoyer des courriers électroniques cryptés.}

Answer 3

J'ai un certificat de signature de code de StartCom (StartSSL). Je suis très satisfait de leur service: Leur service client est très rapide, et leurs prix sont très raisonnables.

Obtenir le certificat de signature de code

L'obtention d'un certificat de signature de code nécessite la Classe 2 de Validation de l'Identité. StartCom vous guide à travers l'ensemble du processus (avec un excellent taux de réponse, généralement en moins de dix minutes dans mon expérience).
Si vous voulez obtenir les détails à droite à la fois, de lire ce blog. J'ai été validés dans un délai d'une heure (pour un prix de 59.90 $, par l'intermédiaire de Paypal).

Après avoir été validé, générer une nouvelle clé privée, et une Demande de Signature de Certificat (CSR). Notez que tous les champs sauf pour la clé publique sont ignorés. Toutes les informations contenues dans le certificat est déduit à partir des informations que vous fournissez lors de la validation d'identité, pas de votre RSE.

# Create key and CSR (key must be at least 2048 bit, per Policy Statement)
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
# Add pass phrase to key (optional, but highly recommended)
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
    mv codesigning2.key codesigning.key

Soumettre via l'interface web, et vous serez rapidement en obtenir un nouveau certificat valide pour deux ans (j'ai eu la mienne à moins d'une heure).

Problème: la durée de Vie de la Signature de l'OID

StartCom de la classe 2 les certificats de la durée de Vie de la Signature de l'OID de jeu. En raison de ce bit, la signature d'un code signé ne sera pas valide après l'expiration du certificat, même quand c'est horodaté.

Quand j'ai demandé à Eddy Nigg (COO/CTO de StartCom) pour la raison de cet OID, il a répondu:

Elle exige de nous de garder les listes de révocation de certificats d'exploitation jusqu'à 20 ans après les certificats déjà expiré. C'est quelque chose que nous pouvons faire pour niveau EV certs (beaucoup plus faible volume, des modalités de paiement différentes), mais permettrait d'augmenter le prix pour la Classe 2, juste pour bénéficier de cet avantage (d'où la signature de code est une partie seulement des options à ce niveau).

L'horodatage est donc disponible uniquement après Validation Étendue (EV), qui est uniquement disponible pour les organisations légalement constituées et les coûts de 199.90 $. Ainsi, les développeurs ne peuvent pas utiliser l'horodatage avec un certificat de signature de code de StartCom.

Pendant longtemps, j'ai considéré cette limitation comme un gros problème. Récemment, j'ai changé d'avis: Il n'arrive qu'une fois tous les deux ans, soucieux de la sécurité des utilisateurs peuvent être plus enclins à obtenir la dernière version de mon logiciel, et les anciennes versions du logiciel fonctionnera toujours (pour ceux qui veulent l'utiliser; bien que, sans un vérifiée signature).

Remarque: Toujours timestamp votre code, même si la durée de Vie de la signature de drapeau est réglé! Horodaté signatures restent valables jusqu'à la date d'expiration du certificat, même lorsque le certificat a été révoqué (évidemment, que si la signature a été créé avant que le certificat a été révoqué).

Utilisation pratique de certificat

Au StartCom, vous ne payez que pour la validation. La validation de l'identité est valide pour 350 jours, et durant cette période, vous pouvez demander des certificats de signature de code pour gratuit. Vous ne pouvez avoir qu'un valide, certificat de signature de code, et il peut être utilisé pour signer le code (MSI, DLL, XPI, ...) mais pas de code de pilote (EV).

Pour modifier un attribut sur le certificat, le certificat précédent doit être révoqué une une nouvelle demande. La révocation d'un certificat coûts de 29,90 $. Mais quand j'ai changé mon e-mail un jour après l'obtention d'un certificat de signature de code, ils exceptionnellement révoqué mon certificat sans frais (j'ai été positivement surpris)!

D'Expiration

Votre certificat est sur le point d'expirer (après presque deux ans), vous recevez une notification (deux semaines à l'avance). Si votre vérifié l'identité est toujours valide (rappelons que les validations expirent après 350 jours; ensuite, vous devez confirmer votre identité de nouveau pour 59.90$), vous pouvez demander un nouveau certificat sans renoncer à la précédente. N'oubliez pas de publier une nouvelle version de votre logiciel qui est signé avec ce nouveau certificat de signature de code, parce que les versions précédentes seront bientôt show "(non vérifié)" ou quelque chose de similaire.

OCSP

Quand j'ai reçu mon certificat, j'ai signé mon Firefox add-on. Cependant, il a encore montré "(Auteur non vérifié)", même si mon fichier XPI a été correctement signé. Il s'est avéré que Firefox n'a pas obtenu le certificat de statut lorsqu'il s'est interrogé sur l'OCSP serveurs de StartCom pour le statut de révocation de mon nouveau certificat. ^{éventuellement pertinents au sujet du forum}

Après environ une demi-journée, mon certificat a été connu pour les serveurs OCSP, et mon nom a montré jusqu'à, comme prévu. Leçon apprise: Quand vous avez un nouveau certificat, attendre environ un jour avant la publication de votre logiciel avec la nouvelle signature.

StartCom de la pratique des affaires

Je suis très réservé à la transmission de données personnelles. Pourtant, j'ai encore des photos de ma carte d'identité à StartCom, pour les raisons suivantes:

• Je voulais un certificat de signature de code.
• StartCom, comme une Autorité de certification, doit vérifier votre identité avant la délivrance d'un certificat.
• La plupart des commentaires que j'ai lu sur StartCom sont positifs (SSL Shopper, DONC, blogs).
• Ils ne semblent pas être principalement motivé par l'argent, contrairement à d'autres CAs (ou Honnête Achmed):
  "La philosophie de StartCom est guidée par le principe que nos services sont facturés en fonction de l'effort que nous avons à investir." ^{source: StartCom FAQ: Pourquoi sont de Classe 1 gratuite des certificats?}
• Eddy Nigg réponses à plusieurs messages de blog, bug tracker, listes de diffusion, etc., J'ai vu les mots de quelqu'un qui exploite un CA avec passion. ^{par exemple, 1, 2}

Si vous souhaitez en savoir plus au sujet de leur politique de certification, de lire leur Déclaration de Politique.

Answer 4

Vous pouvez consulter le site StartSSL produit.

Note StartSSL a maintenant fermé et ne délivre plus de certificats.

Answer 5

Vous pouvez également consulter KSoftware . Ils revendent Comodo des certificats de signature de code pour 99 dollars par an.