Chcę opublikować jedną z moich aplikacji jako open source i podpisać cyfrowo pliki binarne, które utworzyłem, własnym certyfikatem. (Oczywiście każdy może po prostu pobrać kod i samodzielnie zbudować go z własnym certyfikatem). Chcę to zrobić, aby każdy mógł sprawdzić, czy ta kompilacja została wykonana przeze mnie, a nie przez kogoś innego. Chcę również utworzyć bezpieczną witrynę internetową z ważnym certyfikatem SSL, aby odwiedzający mogli tworzyć własne konta w bezpieczny sposób, aby mogli wnieść swój wkład w ten projekt.
Mógłbym stworzyć certyfikat z podpisem własnym, ale nie podoba mi się ta opcja. Albo mógłbym zapłacić Verisignowi kilka sztuk złota, aby otrzymać certyfikaty, które byłyby ważne tylko przez kilka lat. Ta opcja też mi się nie podoba, ponieważ mój skarbiec jest dla mnie cenny.
Czy są więc jakieś inne opcje? Na przykład dostawca, który obsługuje projekty open source, oferując certyfikaty po obniżonej cenie? Nie musi być za darmo, tylko dużo tańsze niż Verisign ...
(Projekt jest tworzony w C # w programie Visual Studio 2008. Plus dodatkowy projekt w ASP.NET, który wymaga SSL).
źródło
Odpowiedzi:
Możesz spróbować CAcert . Dzięki temu uzyskujesz certyfikaty innych użytkowników CAcert. CAcert ma system oparty na reputacji, więc jeśli wystarczająco często uzyskujesz certyfikat, Twój certyfikat jest liczony jako ważny.
Może być konieczne dodanie CAcert jako zaufanego urzędu w systemie docelowym. Samopodpisywanie pliku wykonywalnego powinno być wystarczającą opcją, ale konieczne będzie dostarczenie certyfikatu publicznego. Skorzystanie ze znanego organu może pomóc w weryfikacji pliku, ale wydaje mi się, że jest to nadmierne zabicie, w tym przypadku użyj sumy kontrolnej lub skrótu sha2 pliku w połączeniu z certyfikatem z podpisem własnym. Możesz skonfigurować Linuksa jako CA, ale będą musieli ufać Twojemu certyfikatowi publicznemu.
źródło
Dla programistów open source Certum zapewnia
bezpłatnecertyfikatydopodpisywania kodu *Po prostu wpisz „programista open source” w polu „firma”, gdy zażądasz certyfikatu. Otóż to.
Link do certyfikatów podpisywania kodu open source jest tutaj
[*] Od 2016 r. Certyfikat Open Source Code Signing nie jest już dostępny bezpłatnie. Jest to teraz usługa płatna.
źródło
Aktualizacja: już nie za darmo, teraz 105,78 € (od 19 lutego 2017 r.). Koszt jest niższy, jeśli masz już swój sprzęt kryptograficzny. FWIW, poniżej znajdują się poprzednie instrukcje.
Aby otrzymać bezpłatny certyfikat do podpisywania kodu od Certum / Unizeto dla siebie jako osoby fizycznej, wykonaj następujące kroki. Użyj przeglądarki Internet Explorer lub Safari, ponieważ obsługują one mechanizm wymiany kluczy.
Przejdź do certyfikatów Test ID i OpenSource Code Signing , a następnie prześlij formularz.
Certyfikat pojawi się w sekcji Aktywuj certyfikaty . Kliknij Aktywuj .
Przejdź przez kreatora aktywacji. W polu Organizacja wpisz Open Source Developer . W przypadku jednostki organizacyjnej wpisz Software Publishing .
Otrzymasz wiadomość e-mail z prośbą o potwierdzenie tożsamości. Odpowiedz, podając łącze do projektu open source i obraz prawa jazdy (lub innego zaakceptowanego dokumentu). Aby chronić swoją prywatność, należy zaszyfrować odpowiedź. * Sposób szyfrowania różni się w zależności od klienta poczty e-mail. W przypadku programu Outlook upewnij się, że masz certyfikat e-mail ( dostępny bezpłatnie ) i włącz szyfrowanie .
W ciągu jednego dnia powinieneś otrzymać e-mail z linkiem do odebrania certyfikatu. Musisz otworzyć link z tego samego komputera i przeglądarki, których użyłeś do rozpoczęcia procesu.
* Chociaż e-mail weryfikacyjny od Certum nakazuje wysłanie dowodu na
[email protected]
adres[email protected]
, Certum akceptuje również dowód wysłany na adres zwrotny , na który można wysłać zaszyfrowaną wiadomość e-mail.źródło
Aktualizacja 2016: StartCom został przejęty przez WoSign w wątpliwych okolicznościach . Nie ufałbym StartCom / WoSign. Potraktuj poniższy tekst jako notatkę historyczną o tym, jak dobry był StartCom do początku 2015 roku .
źródło
Możesz także sprawdzić KSoftware . Oni odsprzedawać Comodo certyfikatów podpisywania kodu dla US $ 99 / rok.
źródło
Możesz rzucić okiem na produkt StartSSL .
Uwaga StartSSL został zamknięty i nie wydaje już certyfikatów.
źródło
Będziesz musiał kupić certyfikat do podpisywania kodu. Najtańsze są z Comodo. Opublikowałem kod źródłowy i pliki binarne, tak jak planujesz, i podpisałem pliki binarne. Zdjęcia i inne pliki można znaleźć w sekcji Zmieniacz partii daty i czasu .
źródło