Задался как-то раз я этим вопросом, дабы увеличить доверие потенциальных клиентов к своим программам. Порылся в интернете, и нашел для себя более-менее приемлемую по ценам компанию Comodo, сертификаты которой можно купить всего за 75$ на год. Почитал вскользь подводные камни, что де надо подавать заявку и получать сертификат на одном и том же компьютере, на одном и том же браузере, и прочее-прочее связанное уже именно с установкой и использованием сертификата. А про сам процесс получения почему-то почитать забыл.
Цену 75$ я нашел на Tucows, тогда как на российских и казахстанских сайтах предлагали порядка 110$ на год. Как всегда не прочитав, что там написано мелким шрифтом, бодро нажал кнопку купить, ввел карточные данные и оплатил заказ. После чего я получаю письмо на почту о том, что покупка совершена, мы вас поздравляем, вы такой молодец, но деньги мы вам в случае чего не вернем. То есть, если что, то останетесь вы без своих кровных. Ну ладно, подумал я, что тут может произойти такого.
В тот же день ко мне приходит письмо от Comodo — заказ подтвержден, начался процесс проверки моей компании, который может занять два рабочих дня. На следующий день снова письмо — так и так, мы не смогли собрать инфомацию о вашей компании в интернете. Пришлите нам какие-нибудь документы подтверждающие существование вашей компании. Я отправил отсканированный загранпаспорт, удостоверение личности и свидетельство ИП. На что мне приходит ответ (опять же на следующий день) — у вас индивидуальный заказ, поэтому вы должны пройти так называемую face-to-face проверку. А сразу, в первом письме, нельзя мне было это сказать?
Хорошо, прохожу по ссылке (кстати, кто хочет ознакомится, то вот ОНА) и скачиваю инструкцию к этой самой проверке. Проверка, на самом деле, может и не такая тяжелая, но повозиться придется.
Нужны нотариально заверенные копии:
1) водительских прав или паспорта;
2) любого финансового документа с вашим именем — выписка с банка за полгода, либо кредитная или дебетная карточка;
3) любой нефинансовый документ опять же с вашим именем — свидетельство о рождении, повестка в суд, или счета за коммунальные услуги;
4) заполненный шаблон заявления (скачивается по той же ссылке), где должна стоять ваша подпись, а также данные нотариуса, заполненные им собственноручно, его подпись и печать.
Вроде бы ничего сложного, и потому, взяв права, свидетельство о рождении и кредитную карточку я весело направился к нотариусу. Но там меня ждал неприятный сюрприз, видите ли нотариус — лицо подневольное и оказывается не имеет права на заверение подобного рода заявлений свободного формата. По крайней мере у нас так в Казахстане. Это таааааам заграницей они могут заверять что угодно, объяснила она мне, а мы тут можем только доверенности заверять, да документы с печатями. Чтобы хоть как-то оправдать свой приход к нотариусу, я все-таки сделал заверенные копии прав и свидетельства о рождении.
Дойдя до дома, я прикрепил копии, и объяснил ситуацию — мол так и так, наши нотариусы не могут заверять вашу бумажку, могу приложить копии чего угодно, хотите паспорт, хотите выписку, хотите дам адресную справку с нашего электронного правительства, где будет черным по белому написан мой адрес и телефон, давайте заверю что угодно. На что мне ответили довольно лаконично — либо face-to-face, либо предъявите DUNS — это международный номер организации на сайте dnb.com. Ответ снова прислали на следующий день, вообще на все письма они отвечали день, а то и два, никто там с тобой, как с дорогим и любимым клиентом не сюсюкается.
Я немного воспрял духом, потому как когда-то читал в интернете, что получить DUNS-номер не составляет труда. Перехожу на Dnb.com и пытаюсь зарегистрироваться, быстренько ввожу все свои данные, но дойдя до поля «Страна», нахожу, что ничего, кроме США выбрать там не могу. Другими словами, регистрация на самом сайте Dnb отпадает.
Я попытался поискать информацию в интернете, и зайдя на Dnb.ru, нашел одну очень неприятную новость для себя, а именно — " 1 сентября 2015 года процедура получения D-U-N-S® номера изменилась, D-U-N-S® номер больше не выдается бесплатно". И стоимость теперь составляет ни много ни мало чуть больше 12000 рублей. Тут я окончательно приуныл — никак не рассчитывал платить за сертификат такую цену.
Обзвонил несколько других нотариусов – все твердили одно и то же, не имеем права и все тут. Я ломал голову пару дней, что делать, уже думал нарисовать печать нотариуса в фотошопе (хотя я самый что ни на есть законопослушный гражданин). Но порывшись в интернете, наткнулся на пост, где говорилось, что даже если вы отправите документы в Comodo, они, в конечном счете, могут запросить лицензию нотариуса или даже позвонить ему лично.
Решил для себя, что уж лучше я верну свои 75$, докину 35 и куплю сертификат через одну из наших контор. Написал в Comodo, что хочу вернуть свои деньги, на что они мне ответили – да без проблем, уважаемый, обращайтесь в Tucows.com, вы ведь там оплачивали. На этом я совсем отчаялся, прошло уже больше 10 дней, а сертификат я не получил, доказать своего существования никак не могу, да еще и деньги возвращать не хотят.
Но следуя мудрой пословице про надежду, я опять начал гуглить про получение DUNS-номера, и, о чудо! Каким-то образом набрел на сайт Fedgov, где любой желающий может проверить информацию о своей компании. Если же ее там нет, то добавить совершенно бесплатно и легально! Не совсем веря в успех, я ввел свои данные, дело заняло всего 10 минут, после чего мне пришло письмо на почту, что запрос принят и будет обрабатываться в течение 7 дней. А еще через 2 часа на почту пришло уведомление об успешном присвоении DUNS-номера. Я зашел на сайт Dnb.com и к своей великой радости нашел-таки информацию о своей компании. Никаких подтверждающих документов, никаких копий, ничего совершенно.
Не откладывая в долгий ящик, отправил письмо в Comodo со своим номером. В ответ пришло письмо, где они просили меня изменить номер телефона и привести название компании в соответствие с Dnb.com. Я сделал это и отписался Comodo, те ответили, что все нормально, номер принят, ожидайте. Я, что на этом все – мои мытарства закончились.
Но, увы! Техподдержка молчала больше суток, а дальше выдала – извините, но номер телефона, который вы указали, не отражается на Dnb.com, просим вас указать ссылку с Dnb.com, где можно было бы найти телефонный номер. А на Dnb.com действительно ничего, кроме адреса, не отражается при поиске. Пришлось писать в поддержку Dnb.com, те в свою очередь, по традиции на следующий день, перенаправили меня на техподдержку Dnb.ru. Там девушка (спасибо ей огромное) объяснила, что на Dnb.com вообще не предусмотрено поле «Номер телефона», и лучше искать свой номер DUNS на Upik.de. Я нашел себя на этом сайте, и отправил ссылку с результатами поиска в Comodo.
Comodo напоследок организовали еще и проверку номера телефона. Прислали мне ссылку в письме, при переходе по которой я попал на страницу, где нужно нажать на кнопку «Callback». Тут же мне позвонили, и робот сообщил 6-значный пин-код, который мне пришлось ввести там же на странице. На этом все. Проверки закончились, и через 3 часа я получил ссылку на скачивание сертификата.
На весь процесс ушло две недели, плюс немного моих нервов. Поэтому прежде, чем покупать сертификат у Comodo, зарегистрируйте себя в Dun&Bradstreet. Во всем этом бедламе меня так и мучает вопрос – зачем? Зачем это все нужно Comodo, зачем такие заморочки делать для своих клиентов, если тут же, они просят номер DUNS, который можно получить за 10 минут без подтверждения чего-либо вообще? Я не смог усмотреть в этом ни капли логики.
Комментарии (34)
Ilirium
20.07.2016 13:53Сурово. Получается, что особо доверять наличию сертификата у запускаемого приложения не стоит. Да и в принципе, что можно сделать в том случае, если сертификатом был подписан троян. Подать в суд в компанию, расположенную в другой стране? Написать сертификационному центру и они отзовут сертификат?
В общем, до сих пор удивляюсь, почему Microsoft не сделает нормальный App Store для обычных приложений, а не только плиточных.
CoffeeAndTV
20.07.2016 22:07Центры сертификации ответственны за верификацию апликантов и следуют своим четким верификационным процедурам. Почти каждый платный сертификат имеет определенную денежную гарантию (code signing сертификаты от Комодо имеют гарантию $50000), и, в том случае если конечный юзер, пользующийся ресурсом или софтом с трастед сертификатом, понес финансовые потери, центр сертификации предоставляет компенсацию.
С другой стороны, это относится только к финансовым транзакциям. Как обстоит дело с хищением персональной информации до конца непонятно. Случаи, когда выплачивается компенсация или чрезвычайно редки, или совсем не афишируются.CoffeeAndTV
20.07.2016 22:12В целом, наличие сертификата это всё же плюс для приложения, а доверять этому приложению или нет — следует расценивать по другим критериям.
Ilirium
21.07.2016 07:17Можете объяснить, в чём плюс для приложения? Про доверие, это я написал с точки зрения рядового пользователя. Ведь ОС при запуске установщика программы подаёт наличие сертификата как типа «мы проверили это приложение».
pavel_pimenov
21.07.2016 08:40Перед запуском нужно ведь программу скачать?
Smartscreen и другие облачные защитники могут не позволить этого сделать простому пользователю а это потеря потенциальных клиентов.
Ilirium
21.07.2016 07:14Спасибо, очень интересный ответ. Никогда не задумывался что сертификаты имеют денежную гарантию. Получается, что это продажа такой цифрового страхового полиса, а не как ниже пишут «воздуха».
В случае с Comodo и номером DUNS, допустим 10 исследователей по безопасности и 3 юриста с Хабрахабра объединяются, подготавливают все юридические документы и вредоносную программу для воровства денег, получают 10 сертификатов на 10 фирм из головы, запускают у друг друга эту программу. То получается, можно с Comodo взять $650 000? А раскрутив эту ситуацию, Comodo вообще вылетит из бизнеса.
taulatin_one
24.07.2016 02:42-1Скорее вас повяжут за мошенничество. Продавцы воздуха имеют хорошую моржу, и наверно больше возможностей для решения такого рода проблем.
Ilirium
24.07.2016 12:42Спасибо и за ваш ответ тоже, однако он не несёт никакой новой или неожиданной информации, которой не специалист не мог бы и сам предположить.
pavel_pimenov
20.07.2016 13:54Comodo перестал продавать сразу на 5 лет и оставил максимум 3 года?
navion
20.07.2016 18:13+1Все перестали:
March 15, no longer offers 4 or 5-year certificatesOn March 1st, 2015, GGSSL will ends selling SSL certificate with validity periods of 4 and 5 years according to new guidelines by the Certificate Authority/Browser (CA/B) Forum, the governing body of the SSL industry. This update will affect all SSL certificates in the industry, including the entire product catalogs of Symantec, Comodo, Thawte, GeoTrust, and RapidSSL.
Please note that any active 4 or 5-year certificate that are reissued after the March 1st, 2015 deadline will automatically be truncated to the new maximum duration permissible, which is 39 months. Ultimately, this is good news for the SSL industry, as certificates with shorter lifespans make security updates much easier and more streamlined.CoffeeAndTV
20.07.2016 21:02+1Это не самодеятельность Комодо — а инструкция CA/B Forum. Начиная с 1го апреля 2015го года сертификаты могут быть валидны максимум в течении 39ти месяцев.
Второй пункт в списке: cabforum.org/faq-about-the-baseline-requirements
lagushonok
20.07.2016 13:58Попробуйте в следующий раз воспользоваться другим центром сертификации. В комоде действительно очень сложный процесс верификации в отличие от остальных.
pavel_pimenov
20.07.2016 14:04А какие еще есть центры с соизмеримой ценой?
TerAnYu
20.07.2016 16:44Возможно https://startssl.com/
Только я смог подписать *.exe, все другие виды файлов отказывались.
$ 59.90/Y — Class 2 Code Signing Certificatepavel_pimenov
20.07.2016 16:53Другие виды файлов — это какие? .dll даже нельзя подписать? покажите как ругалась signtool.exe?
TerAnYu
20.07.2016 17:20Прошу прощения за клевету, подписываются:
*.exe
*.sys
*.dll
*.cat
*.msi
*.ocx
Ошибка «SignTool Error: The specified algorithm cannot be used or is invalid.» при:
*.vbs
*.wsf
Ошибка «SignTool Error: An unexpected internal error has occurred.
Error information: „Error: SignerSign() failed.“ (-2147024885/0x8007000b)» при:
*.stl
*.cab
Вызывал так:
signtool.exe sign /f "D:\cert\2017.pfx" /p "passw" /fd sha256 /tr http://timestamp.geotrust.com/tsa /v "%1"
TerAnYu
20.07.2016 22:33И опять я наврал :(
*.vbs
*.wsf
подписываются, в windows 7 и ниже — только sha1, если windows 8 и выше, то sha256, но не всегда валидны.
Так же нашёл упоминание что двойная подпись sha1 и sha256 возможна только на windows 8.0 и выше, windows 7 и ниже возвращают ошибку и подписывают только одним.pavel_pimenov
21.07.2016 08:13+1Под Win 7 sha256 100% работает (но нужен свежий signtool.exe)
делаю вот так:
«C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe» sign /v /d «xxx» /du «http://xxx.com» /fd sha1 /t http://timestamp.verisign.com/scripts/timstamp.dll %1
«C:\Program Files (x86)\Windows Kits\8.1\bin\x86\signtool.exe» sign /as /v /d «xxx» /du «http://xxx.com» /fd sha256 /tr http://timestamp.comodoca.com/rfc3161 /td sha256 %1TerAnYu
21.07.2016 19:47Правда ваша.
Решил разобраться, вспомнил что у меня была ошибка, если рядом были .manifest файлы.
Вот сделал портативную «сборку» https://yadi.sk/d/Amykgea1tWTy9
Ошибки перестали появляться, после того, как зарегистрировал все dll внутри папки (файл reg_dll.cmd).
И после этого подписываться стали multisign (обе подписи, sha1 + sha256).
Спасибо что утвердительно сказали о такой возможности.
navion
20.07.2016 18:22StartCom точно не требовали нотариуса в 2013 году.
После персональной верификации (паспорт, счёт, звонок) для компании потребовалось свидетельство с выпиской из ЕГРЮЛ, заявление на бланке и звонок гендиру.
phprus
21.07.2016 14:59Скажите, пожалуйста, а у них действительно появилась и работает поддержка Time-Stamping для всех Code Signing сертификатов?
В интернете встречал упоминания, что у них с этим были проблемы (как минимум для уровня Class 2).
dmitry_ch
20.07.2016 16:28Переводя на русский — сами отлично знают, что спекулируют воздухом, да за приличные деньги, и сами же не могут сделать адекватно для людей. История про «сертификаты на 90 дней» (tm) на этом фоне выглядит как декорация.
Что обидно, они от этого не закроются, максимум немного меньше заработают в следующий раз (когда вы уйдете к другим). Всегда найдутся люди, которые либо продлят что-то через них, либо новые клиенты, которые поведутся на «репутацию» и «давность на рынке».navion
20.07.2016 18:29+1Comodo демпенгует через реселлеров — на многие вещи цены ниже в разы, если не на порядок.
Просто нужно запомнить, что это юридическая услуга и относиться к ней соответственно. Регистрировать компанию в AppStore тоже долго и муторно, но все с этим смирились из-за отсутствия альтернатив.
taulatin_one
20.07.2016 23:05Не считаю для себя нужным платить продавцам воздуха на данном этапе. Тем более, что с Comodo был печальный опыт получить от них соответствующий сертификат. Уровень идиотизма настолько высок, что правила игры меняются в процессе получения заветного сертификата. Но это было в 2015 году.
У меня есть коммерческое приложение, которое я продаю через интернет. Оно все еще не подписано цифровой подписью и проблема возникла только раз, когда Chrome отказывался запускать инсталлятор после загрузки с сайта, но и это решилось обращение в техническую поддержку Google.CoffeeAndTV
20.07.2016 23:27Валидация в Comodo действительно процесс нелегкий в виду их низкоуровнего индийского саппорта.
Но всё же, не могли бы вы уточнить какие «правила игры» менялись в вашем случае?aidynchik
21.07.2016 09:49не знаю по поводу индийского саппорта. Имена операторов в онлайн-чате были Randy и Carrol. Правда это не повлияло на их степень тупизма и компетентности :)
CoffeeAndTV
22.07.2016 01:33В чатике Randy, а по ту сторону монитора Субхаршан Равачандран из города Ченнаи :D
teremock
Я тоже сначала получил комодовский. Но потом выяснилось, что он не может подписывать код для режима ядра (например драйвера .sys) и пришлось заморочиться получением сертификата у другого спекулянта. Их, кстати, для режима ядра очень мало.