Популярные вопросы о сертификатах Codesigning | LeaderSSL

Поддержка LeaderSSL оффлайн. Режим работы: пн. - пт. с 9:00 до 19:00 (по московскому времени) без перерыва на обед.

Обработка заказов и выпуск сертификатов - круглосуточно.

  1. Помощь
  2. Сертификаты подписи кода (Code Signing)
  3. Популярные вопросы о сертификатах Code Signing

У вас есть вопрос, у нас — ответ!

Популярные вопросы о сертификатах Code Signing

Q: Зачем нужны CodeSigning сертификаты?

A: CodeSigning сертификаты рекомендуются к использованию всем издателям, распространяющим код или контент в интернете или в корпоративных сетях. Клиенты понимают все опасности скачивания файлов в сети и гораздо больше верят подписанным файлам, нежели неподписанным. Видя подпись издателя, клиент понимает, что данный файл является аутентичным, в нем отсутствуют какие-либо вирусы или ошибки. Подпись издателя – надежный способ защиты приложения от каких-либо сторонних модификаций.


Q: Какие документы требуются для заказа Code Signing сертификата?

A: Стандартный Code Signing сертификат доступен ИП и юр. лицам.

В случае с Comodo понадобятся:

  • номер ИНН;
  • данные контактного лица: ФИО, email, телефон, должность;
  • для верификации телефонного номера: регистрация компании на infobel.com или ru.kompass.com с указанием юр. адреса и телефона, по которому впоследствии можно связаться с контактным лицом.

В случае с Thawte/Symantec понадобятся:

  • номер ИНН;
  • данные контактного лица: ФИО, email, телефон, должность;
  • для верификации телефонного номера: регистрация компании на yp.ru или 2gis с указанием юр. адреса и телефона, по которому впоследствии можно связаться с контактным лицом.

Физическим лицам выдача Code Signing сертификатов в компании ЛидерТелеком не осуществляется.

Сертификат Code Signing EV доступен только юр. лицам. Требования к его выпуску те же самые, однако проверка при его выпуске более тщательная (изучаются государственные источники).


Q: Как осуществляется подпись кода с помощью CodeSigning сертификата?

A: Чтобы подписать код, необходимо пропустить его через специальный алгоритм хэширования, после чего использовать свой приватный ключ для подписи хэша. В результате этого вы получите цифровую подпись. Затем вы формируете блок подписи, который содержит цифровую сигнатуру и CodeSigning сертификат. Инструменты, такие как Authenticode, позволяют задавать временную метку для блока подписи, основываясь на текущей дате и времени. Наконец, вы привязываете блок подписи с временной меткой к программному обеспечению. Теперь вы можете публиковать подписанную программу на своем сайте для загрузки.

Временная метка требуется для того, чтобы гарантировать, что срок действия кода не истечет вместе со сроком действия Code Signing сертификата. Если ваш код имеет временную метку, то в таком случае цифровая подпись будет действительно даже после истечения срока действия сертификата. Новый сертификат понадобится только в том случае, если вы хотите подписать дополнительный код. Если вы не использовали возможность добавления временных меток в процессе подписи приложений, вам понадобится заново подписывать код и передавать его своим клиентам.


Q: Как воспользоваться своим сертификатом после его покупки?

A: После того, как вы заказали Code Signing сертификат, вам на почту придет специальное письмо для получения сертификата. При получении сертификата используйте те же самые устройства, с которых был начат заказ (тот же компьютер и тот же веб-браузер). При использовании другого компьютера или другого веб-браузера вы НЕ СМОЖЕТЕ установить сертификат.

После скачивания и установки сертификат будет перемещен в специальное хранилище сертификатов веб-браузера. После этого вы сможете экспортировать его в виде pfx-файла. В дальнейшем вы можете использовать этот .pfx-файл для подписи приложений.

Некоторое исключение из этого процесса составляет сертификаты для подписи Java (CSR-запрос генерируется на стороне клиента на Java).


Q: Что произойдет, если срок действия сертификата CodeSigning истечет?

A: Сертификаты Code Signing выдаются на срок от одного до двух лет. Истечение срока действия сертификата CodeSigning означает, что вы не сможете создавать новые сигнатуры. Все прошлые сигнатуры будут работать в течение заданной временной метки (timestamp).

В случае с Microsoft Authenticode использование временных меток позволяет избежать истечения срока действия кода при истечении срока действия сертификата.

Если временные метки не используются, то в таком случае при истечении срока действия сертификата вам нужно будет заново подписать код и отправить его своим клиентам.

Стоит помнить о том, что некоторые сертификаты не поддерживают создание временных меток (к примеру, сертификаты для Netscape Object Signing и Sun Java).


Q: В чем состоит разница между подписью кода и подписью документов? Можно ли подписывать PDF-файлы обычными Code Signing сертификатами?

A: В преобладающем большинстве CodeSigning сертификаты имеют расширение extKeyUsage со значением codeSigning и иногда также commercialCodeSigning. Однако в них нет значений, разрешающих другие варианты использования.

Из правила RFC 5280 для расширения Extended Key Usage следует, что «если расширение задано, то в таком случае сертификат должен использоваться только для достижения одной из соответствующих целей».

Однако в ситуации, вынесенной в вопрос, сертификат Code Signing используется для подписи документа, который не является кодом, что является прямым нарушением спецификации X.509 Public Key Infrastructure Certificates.

Именно по этой причине есть высокая вероятность того, что Adobe Reader отклонит PDF подписи, сгенерированные при помощи code signing сертификата. И даже если сейчас с сертификатами нет проблем, никто не гарантирует, что этого не случится в будущем с выходом новых версий Adobe Reader. По этой причине многие реселлеры сертификатов разделяют сертификаты для подписи кода и сертификаты для подписи документов (в частности, сертификаты для подписи PDF). Цены на PDF-сертификаты зачастую в несколько раз выше.


Q: Есть ли какие-либо отличия между code signing сертификатами для Java, Adobe AIR, Authenticode, VBS?

A: Как следует из спецификации RFC 5280, любой CodeSigning сертификат может использоваться для подписи Java-кода, AIR-кода, Authenticode, VBS и т.д. Соответственно, с технической точки зрения никаких отличий между code signing сертификатами нет.

Однако некоторые центры сертификации могут накладывать определенные ограничения на сферу применения своих codesigning сертификатов (пример: Thawte и Symantec, у которых сертификаты разделяются по типам).


Q: Как подписать установочные файлы Visual Studio .msi? После того, как я подписываю .msi, все входящие в инсталляционный пакет .exe файлы теряют свои сигнатуры. Что сделать, чтобы сигнатуры этих файлов оставались во время инсталляции пакета на компьютер клиента?

A: Visual Studio создает две папки во время компиляции: obj и bin. Выходные файлы чаще всего копируются из папки obj в папку bin. Если подписывать файлы в папке bin, то они впоследствии будут перезаписываться файлами из папки obj. Выход из ситуации: подпись exe-файлов, находящихся в папке obj. В этом случае сигнатуры всех exe-файлов останутся.


Q: Есть ли ограничения на количество приложений, которое можно подписывать с помощью Code Signing сертификата?

A: Нет. Вы можете подписывать CodeSigning сертификатом столько приложений, сколько посчитаете нужным, при условии, что приложение будет распространяться организацией, на которую был выдан сертификат.


Q: Можно ли подписывать драйвера (Kernel-mode) с помощью CodeSigning сертификата?

A: Нет, с мая 2021 года подпись драйверов для Windows 8, 10 более не поддерживается (Источник: Deprecation of Software Publisher Certificates).


Q: Как обойти Smart Screen при установке подписанного приложения на Windows 8?

A: Для этого необходимо использовать EV Code Signing сертификат. Программы, подписанные с помощью EV CodeSigning, автоматически считаются доверенными, даже если для данного издателя или файла отсутствует какая-либо репутация. Задавать репутацию можно только для Authenticode сертификатов, которые были выпущены удостоверяющим центром, являющимся членом Windows Root Certificate Program (к примеру, Symantec).

Заказать Comodo Code Signing EV вы можете у нас.


Q: Возможна ли репутация в SmartScreen при использовании стандартного Code Signing сертификата?

A: Да, возможна, но для этого требуется порядка 3000 загрузок приложения (данные приблизительные). 


Q: Могу ли я подписать ПО для Mac Code Signing сертификатами, которые вы предлагаете?

A: Нет, пожалуйста, ознакомьтесь с https://developer.apple.com/support/code-signing/ 


Остались вопросы? Пишите!

Подтвердить

Принимая Соглашение, Вы подтверждаете, что ознакомились и согласны с вышеизложенным соглашением, Условиями использования сайта, Политикой конфиденциальности и Условиями возврата денежных средств.

>

Готовы попробовать?

Да! Попробовать бесплатно!

Остались вопросы?
Звоните! 8 (800) 555-5737