Свежие комментарии

Это без разницы - в ЖЖ (где был задан вопрос) этот ответ все едино не появится :)

Я там промахнулся кому отвечал:

http://blog.lexa.ru/2012/03/16/razgadki_code_signing.html#comment-25909

У меня этот самый VeriSign Class 3 Digital ID. Купленный через микрософтовский же WinQual (где он продается со скидкой за $99). На нормальную американскую компанию.
Он cross-signed Microsoft-ом (тот верисайновский сертификат, которым подписан мой - подписан и MS-ом)

И, говорю же, для ACDSee цепочка сертификации полностью повторяет мою, никакого особенного MS-овского сертификата там нет (судя по показу SignTool Verify).
И предупреждение вылезает - до запуска.

Таймштамп - верисайновский, естественно.

Более того, Карягин мне сказал, что первое предупреждение (1-я картинка в посте) - это нормально и оно должно быть. Но у меня его - для Орфо - нету. Вот что удивительно то.

Что касается WinQual - да, я подозреваю что дело в нем. Как только выйду из беты - буду пробовать дальше.

И, да, естественно, мой сертификат не отозван. Он выдан то реально позавчера.

тьфу, почему у тебя букву х-маленькую в субже нельзя напечатать?

По моим очень смутным воспоминаниям процедура была такая: обрели сертификат, потом прошли сертификацию, получили еще один сертификат, дальше как-то ими обоими воспользовались.

Вот этот второй сертификат и может быть результатом Лого.

Вторая гипотеза: в самих этих требованиях к виндовому логотипу сформулировано нечто, чего не должна делать твоя программа, но делает. Или делает как-то не так. Обретение логотипа автоматически это вылечивает.

ЗЫ. И сертификат нужен за пятьсот грина в год, не за сотню (или который первый год сотня, а потом - таки пятьсот) - это если ты хочешь делать варез, удовлетворяющий требованиям на логотип

Microsoft requires that interested vendors obtain a VeriSign Class 3 Digital ID. This Digital ID is a special kind of Digital Certificate used by organizations to digitally sign code

Третья: таймштамп у тебя верисигновский? Или твой собственный? В правильной процедуре при подписи ты взаимодействуешь по сети с верисигном, та подписывает время, когда ты подписываешь свой варез.

У микрософта надо искать доку про Code signing best parctices - может, там углядишь чего...

Еще надо зарегаться и выкурить winqual (он переехал, но поиск тебе поможет).

Пока все. Прости за обрывочность, но правда - вообще не помню.

Ну вот пишуть, что надо иметь $499-баксовый сертификат, который там же можно купить (как мы и купили) за 99.
Больше ни слова о деньгах :)

http://msdn.microsoft.com/en-us/windows/ff718579.aspx

Да вроде под семерку (в отличие от висты) - бесплатно.

> Это место густо усыпано другими граблями.

Это иллюзия. Подумай 5 минут.

> Сетевые настройки, файрволлы и сетевые антивирусы,

Которые мешают через IWebBrowser зайти на ничем не специальный веб-сервер и скачать оттуда десять файлов с расширением .jpg? Такого не бывает. Ну или это недра секретной фашиской лаборатории в Иране, тебе там все равно не заплатят.

> "просто нет сети" (скачал, поставить хотел в самолете).

Надуманый сценарий, 1% ситуаций. Можно показывать вежливый мессач бокс "К сети подсоединись, даа?".

> Будет ли в сумме плюс или минус (по числу установок, к примеру) - интересно было бы узнать заранее.

Будет сильный плюс.

Короче мир ждет того героя, который напишет хороший фриварный сетевой инсталлятор а-ла IntelliQ, но без довесок. В котором будет патчится внешними средствами имя сервера.

Следующий шаг, очевидно - сделать эту хрень стартовалкой аппликейшена, чтоб она при каждом старте апгрейдилась и стучала в Центр витальную статистику.

Ну вот для ACDSee Pro и для моего вареза - вся цепочка сертификации (т.е. и CRL - тоже) - одинакова. Отличаются только конечные сертификаты (CRL к которым находится на уровень выше т.е. опять одинаков).

Однако ACDSee ставится без 'Security Warning', а мой варез - с оным.

Я предлагаю взять сертификаты и посмотреть. Те кто требует и те, которые "хорошие".

В сертификате, кроме цепочки подписи, есть еще и опциональные поля, в том числе числе, например, CRL DIstribution Points.
В частности это поле указывает URL-адрес, по которому можно поинтересоваться, не отменили ли уже этот сертификат.

Выпустив CRL Certificat Authority имеет право запретить использование сертификата, хотя его срок еще и не вышел.

При проверке валидности сертификата правильный центр обязан не только проверить цепочку доверия по подписям, но и опросить все указанные CRL-центры,
не отозван ли этот сертификат.
Но. Это поле опциональное и 'non-critical', т.е. если проверка не прошла - на усмотрение проверяющего. Для систем high securily level БЕЗ доступа к CRL-центру
получите отказ в валидации сертификата несмотря на валидность цепочки. В более низких уровнях секретности валидатор дает только предупреждения.

Мне кажется ваша проблема идет отсюда.

Мне это намекает только на то, что так сделать *можно*.
Но я не понимаю КАК (ну кроме как пытаться монетизироваться через IntelliQ, что мне противно)

Речь об уменьшении числа этих табличек. Чем их меньше, тем лучше.

1) Как я понимаю, в подписи есть весь chain, кроме корневого (который, в свою очередь, входит в состав винды).
Включать intermediate через /ac (у signtool) попробую, конечно.
Попробовал - не вижу разницы

2) Запросы я на транзитном гейтвее отмониторю, так привычнее.

В 2007-м офисе он же, но очень сильно испоганен. Что в 10-м - я не проверял, потому что сразу поставил Орфо.
Орфо приятен еще тем, что там пополнение словаря человеческое, сразу все формы слова. В отличие от (опять же, в 2010-м офисе не смотрел как оно сделано).

А на Маке просто нету другого русского спеллера. Этот то - совсем недавно появился.