druidmanДело не в цене, дело в принципе -- сертификат, по-большому счету, не нужен. Можно было бы и не покупать. Но приходится, ибо надо для бизнеса:

http://support.microsoft.com/kb/931850

A user who tries to connect to a secure Web site by using Windows Internet Explorer 7 may receive the following warning message:
There is a problem with this website's security certificate. The security certificate presented by this website was not issued by a trusted certificate authority.


Как и для драйверов. Только для драйверов всё хуже, ибо без сертификата просто не работает.

Исправлено: dozen, 21.08.2007 20:56

Нужен или не нужен - решать не тебе. Если принято, значит кому-то нужен, пусть даже тем же верисигн для ведения бизнеса. Каждая новая степень защиты уменьшает в прогрессии число человек, желающих создать подделку. Другое дело - цена должна быть символичная или хотя бы приемлимая. $15 - цена символичная, а $500 это что-то типа вымогательства, ибо максимальная себестоимость не более $1.

А при покупки у того же VeriSign сертификата и подписи им драйвера, по окончанию срока действия сертификата драйвер перестает работать? А если я продлю, скажем, за неделю до конца -- не перестанет. Иначе говоря:
продали дяде Васе из Мухосранска девайсину с драйвером, прошел почти год, я обновил подпись, у дяди Васи драйвер упадет? Или же обновится и продолжит работать?

Нужно подписывать с таймштампом, тогда не упадет.
Сервера:
http://timestamp.comodoca.com/authenticode
http://timestamp.verisign.com/scripts/timestamp.dll
Продление это выпуск нового сертификата, поэтому без подписи со временем упадет в любом случае.

FYI: за $15 у GoDaddy вы купите domain validation certificate, который по сути не валидирует для потенциального клиента вашего сайта ничего, кроме доменного имени. Любой гуй с горы может купить домен, сертификат к нему и собирать $$ с лохов. Вменяемые пользователи деньги в e-shop с таким сертификатом нести не будут - ибо претензии потом предъявлять будет просто некому.

Немножко за другую $$ сумму Verisign валидирует не только доменное имя, но и вашу организацию, юр. адрес, телефон, данные о физ.лице на имя которого выписывается сертификат и прочее. Поэтому для говносайта можно удовлетвориться и domain level ssl, а вот для e-commerce нормальные люди так не делают.

Отсюда и разница в цене. Говорить, что "подобный сертификат можно взять за $15, то зачем платить больше" - значит не разбираться в сути вопроса. Сертификаты с валидацией организации GoDaddy выписывает уже на $99 - немножко больше, чем $15, не так ли? Более того в рейтингах ssl cert авторити GoDaddy не поднимается выше 3 из 5 звёзд - значит, для конечного потребителя и тут есть разница.

Софткаталог tucows.com продает разрабам ПО серты от верисайна за полцены.

vjungle
Софткаталог tucows.com продает разрабам ПО серты от верисайна за полцены.
от Comodo

Gipnoss
от Comodo
Шаришь!

Кстати, а кто-нидь пробовал Atsiv под 7?

Для полноты картины:
Сертификат Comodo лучше взять тут https://secure.ksoftware.net/code_signing.html (намылить цены конкурентов - дадут купон на скидку, 5 лет максимум и можно платить PayPal-ом)
VeriSign дает майкрософт за 99$ в год https://winqual.microsoft.com/help/default.htm#obtai…_3_digital_id.htm
VeriSign только для организаций

Gipnoss
Сертификат Comodo
а в чем его недостаток?
неужели цену скинули чисто из альтруизма?

Konstantin Mironovich
а в чем его недостаток?
Зарегаться на winqual можно только с VeriSign в итоге нельзя получить лого и кажется драйвера подписывать. Ну и доверия VeriSign-у больше.

неужели цену скинули чисто из альтруизма?
Если не скидывать цену - кто ж у них купит?

Gipnoss
лого не важно. а вот в драйверами - это траблы.
вообще-то полагал, что sys-драйвера и exe-шники можно подписывать одним и тем же сертификатом.

еще GlobalSign продает дешево. особенно индивидуалам.

Gipnoss
Konstantin Mironovich
а в чем его недостаток?
Зарегаться на winqual можно только с VeriSign в итоге нельзя получить лого и кажется драйвера подписывать. Ну и доверия VeriSign-у больше.

Подпись файлов и подпись драйвера это разные вещи.
Для подписи драйвера в MS действительно используется только VeriSign, но подписать драйвер не так просто и стоит денег.

На вчерашней презенташке win 8 показывали выкладывание приложения на будущий Windows Store прямо из студии. Среди прочих пунктов с кучей валидаций была и подпись, интересно будут ли принимать не VeriSign? Если не будут - отсекут мелких разработчиков, что не логично. А если будут может и правила winqual поменяют.

soft Denis
Подпись файлов и подпись драйвера это разные вещи.
и в чем принципиальное отличие?

Для подписи драйвера в MS действительно используется только VeriSign, но подписать драйвер не так просто и стоит денег.
а у меня, к примеру, есть sys-драйвер от EVGA, подписанный GlobalSign. нормальный такой драйвер под x64.
понятно, что сертификат платный. цены приведены выше.

http://msdn.microsoft.com/en-us/windows/hardware/gg487315.aspx
список центров сертификации, которые выдают сертификаты, пригодные для подписывания драйверов:
Baltimore CyberTrust Root
Equifax Secure Certificate Authority
GTE CyberTrust Global Root
GlobalSign Root CA
GeoTrust Global CA
VeriSign Class 3 Public Primary Certification Authority

GeoTrust продает сертификаты от VeriSign

здесь список несколько иной. он новее.

Не знаю, может не в тему. Случайно наткнулся, вдруг кому будет полезно? Как раз об установке неподписанных драйверов (рассматриваются разные методы, в том числе с подписью тестовым и даже самоподписанным сертификатами): http://blogs.msdn.com/b/matthew_van_eerde/archive/20…gned-drivers.aspx

Konstantin Mironovich
GeoTrust продает сертификаты от VeriSign
А ссылки то ведут на сайт VeriSign.


здесь список несколько иной. он новее.
Походу для драйверов и для подписи вообще списки разные.

Konstantin Mironovich
soft Denis
Подпись файлов и подпись драйвера это разные вещи.
и в чем принципиальное отличие?


Для того, что-бы подписать драйвер необходимо пройти тестирование этого драйвера с использованием Driver Test Manager. Количетсво тестов для прохождения зависит от типа устройства для которого прадназначен драйвер. Даже для софт драйвера ( т.е. драйвера не связанного с реальным устройством) процесс тестирования занимает около 3 часов и его надо проводить для каждой версии ОС отдельно. После этого необходимо собрать результаты тестирования, подписать их и загрузить через свой аккаунт на WHQL сервер (при загрузке необходимо указать номер платёжного документа) После проверки результатов, вы получаете cat файл, который включаете в дистрибутив драйвера. И только после этого Vista перестает ругаться на неподписанный драйвер

А подписать бинарник можно, только это не решит обсуждаемую проблему.

soft Denis
После проверки результатов, вы получаете cat файл, который включаете в дистрибутив драйвера. И только после этого Vista перестает ругаться на неподписанный драйвер
во-1х, кернел драйвера бывают разные. жесткие требования предъявляют к boot-time loaded драйверам.
во-2х, ругаться будут только XP, да и то это можно будет отключить.отсюда

факт обретения наклейки WinLogo, как уже говорил, меня не интересует.

Добавление от 17.09.2011 01:03:

Gipnoss
А ссылки то ведут на сайт VeriSign.
я какбэ на это и намекнул.

Походу для драйверов и для подписи вообще списки разные.
насколько я понял, процедура проверки сертификата одна для всех загружаемых бинариков. подтверждаются только заверенные корневым сертификатом.
Ваш список 2006го года. довистовой эпохи. со времент висты список CA3 был существенно пересмотрен микрософтом.
впрочем, уже плохо помню всю ту бодягу.

Добавление от 17.09.2011 01:17:

вот примерчик, как различается подписывание exe кода (Win Authenticode) и драйверов (x64 KMS). разница в моще сертификата, которым подписывают.

членам профсоюза по 109 баксов
http://www.codeproject.com/services/certificates/

судя по практически идентичным расценкам, сертификаты на codeproject могут быть от GlobalSign
по программе Интеля AppUp можно получить сертификат на один год вообще забесплатно. это сертификат от Comodo.
некоторая проблема в том, что этим сертификатами от Comodo и codeproject нельзя подписывать kernel code. Микрософт не предоставляет для них кросс-сертификатов.

Уважаемые специалисты! Помогите подписать или найти профи для подписывания драйвера cfadisk (http://www.lancelhoff.com/downloads/USB_LocalDisk.zip - исходник, http://www.ex.ua/view_storage/454677143334, http://www.fayloobmennik.net/2376921 - линки на набор .sys+.inf+.cat+Inf2cat.exe), который заменяет статус флешки с "Removable Media" на "Fixed Disk".
ОС - Windows 8 x64 Pro WMC активированная.

Вдогонку. Ответ и подписанный частично драйвер нашёл здесь - http://forums.mydigitallife.info/threads/38288-Digit…tachi-microdriver

Исправлено: AlexCherny, 21.11.2012 23:12

У меня такой же вопрос, как и ТС.
Есть .inf и .sys файлы, исходников нет.
В какую фирму в РФ обратиться, чтобы получить для них .cat файл и сколько это примерно стоит?

GeOO
если Вам для подписи одного драйвера, то тут годовой сертификат за 8000р. написано что поддерживается kernel ПО, но я бы уточнил.
если не для распространения, то можно по пробовать подписать своим selfsigned бесплатно. (не уверен насчет kernel, но MSVS как-то генерит тестовые сертификаты для драйверов).
если еще дешевле, то это у globalsign/digicert.

Благодарю за ответ!
В результате подписывания исходные .inf и .sys как-то модифицируются или никак не затрагиваются?
Нужны ли будут исходники .sys для подписывания драйвера?

Konstantin Mironovich
если Вам для подписи одного драйвера, то тут годовой сертификат за 8000р. написано что поддерживается kernel ПО, но я бы уточнил.
Kernel ПО поддерживается.
Если я куплю такого типа сертификат, то получится ли с его помощью заменить подпись в некоем драйвере на свою?
Например, есть подписанный драйвер ( состоит из .inf, .sys , .cat файлов ).
Получится ли убрать от него .cat и создать новый .cat ( командами inf2cat.exe и signtool.exe ), подписанный таким сертификатом?
Такой драйвер будет нормально работать?
Другими словами , работает ли такое, что можно убрать одну цифровую подпись и вместо неё поставить другую?

P.S. Выяснил, что в результате нового подписывания ( т.е создания нового .cat ) .inf и .sys от исходного драйвера не модифицируются.