Підтримка LeaderSSL: Офлайн:
пн — пт 9:00 - 18:00 Центральноєвропейський час
Служба роботи з клієнтами Розрахунки з клієнтами:

понеділок — п’ятниця:
9:00 - 18:00 Центральноєвропейський час

Технічна підтримка:

понеділок — п’ятниця:
9:00 - 18:00 Центральноєвропейський час

Обробка замовлень / видавання сертифікатів:

24/7

  1. Довідка
  2. Code Signing
  3. Поширені запитання про сертифікати кодових підписів

Запитуєте — відповідаємо!

Поширені запитання про сертифікати кодових підписів

З: Для чого використовуються сертифікати Code Signing?

В: Сертифікати Code Signing рекомендується використовувати всім видавцям, які поширюють код або контент в Інтернеті або в корпоративних мережах. Клієнти розуміють ризики, пов'язані із завантаженням файлів в Інтернеті, і тому довіряють підписаним файлам набагато більше, ніж непідписаним. Побачивши підпис видавця, клієнт розуміє, що файл є автентичним і не містить шкідливого програмного забезпечення. Підпис видавця - це надійний спосіб захистити додаток від будь-якого стороннього втручання.

З: Які документи потрібні для замовлення сертифіката підпису коду?

В: Стандартні сертифікати Code Signing доступні для фізичних осіб-підприємців та юридичних осіб.

У випадку з Sectigo (Comodo) вам знадобляться

  • посилання на державну базу даних з реєстрацією вашої компанії
  • контактні дані: ім'я, електронна пошта, телефон, посада;
  • скан посвідчення особи з фотографією, виданого державою (наприклад, паспорт, водійські права тощо), необхідний для верифікації замовника (контактної особи адміністратора) в замовленні;
  • селфі з державним документом, що посвідчує особу (паспорт, водійські права) (має містити фото, ім'я та прізвище).
    Це обов'язкова вимога Sectigo, детальніше:
    https://sectigo.com/knowledge-base/detail/OV-Code-Signing-Validation-for-Organizations-and-Individuals/kA01N000000brb0
  • для підтвердження номера телефону: посилання на онлайн-каталог з реєстрацією вашої компанії (з kompass.com або номер ЄДРПОУ).
    Цей профіль повинен містити назву компанії, адресу та номер телефону.

У випадку Digicert вам знадобиться

  • посилання на державну базу даних з реєстрацією вашої компанії
  • контактні дані: ім'я, електронна пошта, телефон, посада;
  • Для перевірки номера телефону: реєстрація компанії на dnb.com/DUNS або державна реєстрація з номером телефону.

У випадку з Certum вам знадобляться

  • Реєстраційний документ організації
  • Доручення/довіреність: Підписана відповідно до способу представництва, зазначеного в реєстраційному документі. *Вимагається лише у випадку, якщо особа, яка подає заяву на отримання сертифікату, не уповноважена представляти організацію самостійно.
  • Рахунок за комунальні послуги (вимагається тільки для ЕВ): рахунок за комунальні послуги, виставлений на ім'я організації, який підтверджує поточну адресу головного офісу компанії (наприклад, рахунок за газ, електроенергію, воду, стаціонарний телефон, фіксований Інтернет, договір оренди або лізингу офісного приміщення).

ЛідерТелеком не видає сертифікати Code Signing фізичним особам.

Сертифікат Code Signing EV доступний тільки для юридичних осіб. Вимоги для його видачі такі ж самі, але перевірка більш ретельна (перевіряються державні джерела).

З: Як підписати код за допомогою сертифіката Code Signing?

В: Щоб підписати код, ви повинні пропустити його через спеціальний алгоритм хешування, потім за допомогою вашого приватного ключа підписати хеш, що дає вам цифровий підпис. Потім ви створюєте блок підпису, який містить цифровий підпис і сертифікат Code Signing. Такі інструменти, як Authenticode, дозволяють встановити мітку часу для блоку підпису на основі поточної дати і часу. Нарешті, ви прив'язуєте блок підпису з міткою часу до програми. Тепер ви можете опублікувати підписану програму на своєму веб-сайті для завантаження.

Мітка часу необхідна для того, щоб гарантувати, що термін дії коду не закінчується разом з терміном дії сертифікату Підписання коду. Якщо ваш код має позначку часу, то цифровий підпис буде дійсним навіть після закінчення терміну дії сертифіката. Новий сертифікат знадобиться лише в тому випадку, якщо ви захочете підписати додатковий код. Якщо ви не скористалися можливістю додавання міток часу під час підписання додатку, вам потрібно буде повторно підписати код і надіслати його своїм клієнтам.

З: Як використовувати сертифікат після його придбання?

В: Це залежить від типу сертифіката. Ви можете знайти інструкції тут

З: Що станеться, якщо термін дії сертифікату закінчиться?

В: Сертифікати Code Signing видаються на термін від одного до трьох років. Закінчення терміну дії сертифіката означає, що ви не зможете створювати нові підписи. Всі попередні підписи будуть діяти протягом певного періоду часу.

У випадку з Microsoft Authenticode використання міток часу означає, що код не втратить чинність після закінчення терміну дії сертифіката.

Якщо мітки часу не використовуються, то після закінчення терміну дії сертифіката вам потрібно буде повторно підписати код і надіслати його своїм клієнтам.

Варто пам'ятати, що деякі сертифікати не підтримують створення міток часу (наприклад, сертифікати для Netscape Object Signing і Sun Java).

З: У чому різниця між підписом коду та підписом документа? Чи можна підписувати PDF-файли звичайними сертифікатами Code Signing?

В: Найчастіше сертифікати Code Signing мають розширення extKeyUsage зі значенням Code Signing, а іноді також комерційне Code Signing. Однак вони не мають значень, які дозволяють використовувати їх в інших цілях.

RFC 5280 для розширення Extended Key Usage передбачає, що "якщо розширення вказано, то сертифікат слід використовувати тільки для досягнення однієї з відповідних цілей".

Однак у ситуації, що розглядається, сертифікат Code Signing використовується для підписання документа, який не є кодом, що є прямим порушенням специфікації сертифікатів інфраструктури відкритих ключів X.509.

З цієї причини існує висока ймовірність того, що Adobe Reader буде відхиляти PDF-підписи, згенеровані за допомогою сертифіката кодового підпису. І, навіть якщо зараз проблем з сертифікатами немає, не гарантовано, що вони не виникнуть в майбутньому з виходом нових версій Adobe Reader. З цієї причини багато реселерів сертифікатів розрізняють сертифікати для підписання коду і сертифікати для підписання документів (зокрема, сертифікати для підписання PDF-файлів). Ціни на PDF-сертифікати часто в кілька разів вищі.

З: Чи є відмінності між сертифікатами підпису коду для Java, Adobe AIR, Authenticode, VBS?

A: Як випливає зі специфікації RFC 5280, будь-який сертифікат Code Signing може бути використаний для підпису коду Java, AIR, Authenticode, VBS тощо. Відповідно, з технічної точки зору, між сертифікатами підпису коду немає ніяких відмінностей.

Однак деякі центри сертифікації можуть накладати певні обмеження на сферу застосування своїх сертифікатів підпису коду.

Питання: Як підписати інсталяційні файли Visual Studio .msi? Після того, як я підписую .msi, всі .exe файли, що входять до інсталяційного пакету, втрачають свої підписи. Що потрібно зробити, щоб підписи цих файлів збереглися під час інсталяції пакета на комп'ютері клієнта?

Відповідь: Visual Studio під час компіляції створює дві папки: obj та bin. Вихідні файли найчастіше копіюються з теки obj до теки bin. Якщо ви підпишете файли в папці bin, то пізніше вони будуть перезаписані файлами з папки obj. Вихід: підписувати exe-файли, розташовані в папці obj. У цьому випадку підписи всіх exe-файлів залишаться.

З: Чи є обмеження на кількість додатків, які можна підписати за допомогою сертифіката Code Signing?

В: Ні. Ви можете підписати сертифікатом Code Signing стільки додатків, скільки вам потрібно, за умови, що додаток розповсюджується організацією, для якої видано сертифікат.

З: Чи можу я підписувати драйвери (режим Kernel) за допомогою сертифіката Code Signing?

В: Ні, з травня 2021 року підпис драйверів для Windows 8, 10 більше не підтримується. Джерело: Застарілість сертифікатів видавця програмного забезпечення.

З: Як обійти Smart Screen під час інсталяції підписаної програми на Windows® 8/10/11?

В: Ви повинні використовувати сертифікат EV Code Signing. Програмам, підписаним за допомогою Code Signing EV, автоматично довіряють, навіть якщо для цього видавця або файлу немає репутації. Ви можете встановити репутацію лише для сертифікатів Authenticode, виданих центром сертифікації, який є учасником програми Windows® Root Certificate Program.

Ви можете замовити у нас наступні сертифікати EV:
Certum EV Code Signing у хмарі

Sectigo (Comodo) EV Code Signing

Digicert EV Code Signing

З: Чи можна отримати репутацію в SmartScreen за допомогою стандартного сертифіката Code Signing?

В: Так, це можливо, але для цього потрібно близько 3000 завантажень додатку (приблизні дані).

З: Чи можу я підписувати програмне забезпечення для Mac за допомогою ваших продуктів Code Signing?

В: Ні, будь ласка, перевірте https://developer.apple.com/support/code-signing/.


З: Файли PFX більше не доступні для сертифікатів Code Signing. Які є інші варіанти?

В: Починаючи з 01.06.2013, PFX-файли більше не доступні для сертифікатів Code Signing.

Сучасні стандарти вимагають, щоб закриті ключі для сертифікатів підпису коду генерувалися та зберігалися в захищеному середовищі.

Зазвичай це означає використання апаратних пристроїв, таких як HSM, смарт-карти або захищені USB-токены.

Генерація приватних ключів на цих пристроях гарантує, що ключ не може бути витягнутий або експортований, тим самим запобігаючи випуску сертифікатів у форматі PFX.

Sectigo тепер пропонує свої сертифікати на USB-токенах:

https://www.leaderssl.com/suppliers/comodo/products/code_signing

https://www.leaderssl.com/suppliers/comodo/products/code_signing_ev

В якості альтернативи ми пропонуємо сертифікати від Certum:

https://www.leaderssl.com/suppliers/certum/products/code_signing_ev

https://www.leaderssl.com/suppliers/certum/products/code_signing

Це так звані"хмарні" сертифікати.

Вам потрібно буде використовувати спеціальний десктопний додаток і підписувати за допомогою інструменту signnool.


Досі маєте запитання? Напишіть нам!

Погоджуюся

Вводячи свою електронну пошту, ви підтверджуєте, що прочитали та прийняли умови користування сайтом Умови користування, Політику конфіденційності та Політику відшкодування.

>