Здравствуйте, ASX, Вы писали:
S>>Ага, и о какой подлинности может идти речь в случае самоподписанных сертификатов если я Иван Иванов могу подписаться как Петр Петров??? ASX>А какая "подлинность" (кстати, а что ты понимаеш под этим словом) тебе нужна.
Мне не нужна. Я у автора того сообщения спрашивал.
ASX>Ну будет в сертификате написано, что он выдан на имя "Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз". ASX>Тем более что название фирмы очень редко совпадает с названием сайта. Что я должен решить видя эту информацию?
В случае самоподписанного сертификата — ничего, так как такой может сгенерить любой. В случае выданного одним из root authority — скорее всего будет значить что таки да, сие творение произведено мастерами из Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз и посему можно узнать о них. Если подписано самоподписанным сертификатом то толку мне узнавать о том, на кого он выдан если это может быть совсем не он а мой сосед например!
ASX>Доверять мне этой софтине/сайту (аля сертификату) или нет?
Доверять/не доверять об этом позже. Для начала надо хоть знать от кого оно. А потом решать доверять этому кому-то или нет.
Здравствуйте, Аноним, Вы писали:
А>Я сделал собственный сертификат, подписал им инсталлятор, но после скачивания из Интернета выдается "Security Warning" и написано что "Publisher Unknown и личность неустановленна". Правда теперь, можно кликнуть на эту фразу и появится мой самопальный сертификат.
А>Можно ли как-то сделать, что бы надпись была "VasiaPupkinPublisher но личность неустановленна"?
Нужно чтобы были выполнены условия:
1) Корневой сертификат должен быть в хранилище винды, в разделе для зарегистрированных CA
2) В сертификате должна быть прописана организация или имя
Unknown Publisher будет выдаваться для всех самоподписанных сертификатов, т.к. по умолчанию в хранилище нужного сертификата нет. Если клацнуть по ссылке Unknown Publisher, то дальше будет предложено импортировать сертификат в хранилище и после этого уже publisher отображается какой нужно. Мелочь такая вроде бы, а неплохих денег стоит..
Здравствуйте, squiz, Вы писали:
ASX>>Ну будет в сертификате написано, что он выдан на имя "Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз". ASX>>Тем более что название фирмы очень редко совпадает с названием сайта. Что я должен решить видя эту информацию? S>В случае самоподписанного сертификата — ничего,
В случае несамопдписанного тоже ничего. Ну не верю я слепо всей туче сертификатов, которые понавыдавали Comodo, Verisign, etc
S>В случае выданного одним из root authority — скорее всего будет значить что таки да, сие творение произведено мастерами из Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз и посему можно узнать о них.
Что о них можно узнать ?
S>Если подписано самоподписанным сертификатом то толку мне узнавать о том, на кого он выдан если это может быть совсем не он а мой сосед например!
Аналогично с выданным Comodo. Хотя это мы уже пошли по кругу.
ASX>>Доверять мне этой софтине/сайту (аля сертификату) или нет? S>Доверять/не доверять об этом позже. Для начала надо хоть знать от кого оно.
makecert -r -sk my.pvk -n="CN=Vasia Pupkin" my.cer
signtool signwizard (и выбрать вариант для продвинутых юзеров)
Эти две утилиты входят в состав MSVC 2005 и Platform SDK
А>>Можно ли как-то сделать, что бы надпись была "VasiaPupkinPublisher но личность неустановленна"?
Здравствуйте, Doc, Вы писали:
Doc>(Opera и IE его не признает, а вот FireFox — да)
Коллеги, вы уклонились от темы. Вы об SSL-сертификатах или все-таки о code-signing? Если второе (code signing) — то причем тут Опера, Фф и ИЕ? Главное — есть ли сертификат в хранилище "Trusted Root Cert. Authorities" в винде...
Короче, уклонились вы от темы. Попробую резюмировать всю эту ветку (очень интересную, спасибо всем) для себя и для других ...
Итак задача — сделать так, чтобы поль-ль не пугался надписи "you are trying to install and run Unknown software from Unknown publisher". Поднимать для этого собственную CA проблему не решит, тк. если пользователь такого уровня, что его пугает вышеприведенная надпись, то уж сертификат в хранилище он точно не воткнет. (и Виста ему просто так не даст, кстати). К тому же, Windows Server 2003 (или 2000 Advanced Server) + CA — это, в общем, тоже небесплатно. Значит, путь один — просить сертификат у VeriSign, Comodo и тп.
Деньги не проблема, 100 баксов в год — это меньше чем мы платим за хостинг, емае.
Проблема в другом: непонятно, на чье имя брать сертификат. Реталик правильно сказал: если на "Вася Иванофф" — юзер испугается еще больше ("как это, я скачивал прогу с TechnoLabsSuper.com а мне сертификат Васи Пупкина?"). Значит нужно либо юр.лицо, либо торговая марка. А это уже не 100 баксов в год, это дороже. Плюс риски.
Итого: получается, что овчинка выделки не стоит. Ы?
Здравствуйте, Doc, Вы писали:
W>>Откуда такие данные (про сертификат на TM), если не секрет? Doc>При получении сертификата спрашивают на какое имя он создается. Doc>Как я их помню, вариантов 3: название фирмы, марку, физ. лицо.
C торговой маркой в России zope — нет у нас такой фишки, как doing business as, и соотв-но не выдаются соответствующие свидельства об этом. А так, любой может получить серт на вымышленное имя, при условии, что он предоставит следующее:
Documentation of your trading name and address and whom you are, this could be a
combination of your driving license or passport and a bank statement addressed to you
as your fictitious/trading name, or similar combinations.
Здравствуйте, ASX, Вы писали:
ASX>В случае несамопдписанного тоже ничего. Ну не верю я слепо всей туче сертификатов, которые понавыдавали Comodo, Verisign, etc
Верить или нет — дело каждого. С верой я спорить не буду. Факты же говорят что получить сертификат от рутов "немного" сложнее и дороже нежели скачать OpenSSL и нагенерить.
S>>В случае выданного одним из root authority — скорее всего будет значить что таки да, сие творение произведено мастерами из Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз и посему можно узнать о них.
ASX>Что о них можно узнать ?
Зависит от того что интересует. Важно то что я с большей уверенностью могу сказать что если сертификат выдан ААА то это и есть ААА.
"serverside" <47297@users.rsdn.ru> wrote in message news:2201427@news.rsdn.ru... > C торговой маркой в России zope — нет у нас такой фишки, как doing business as, и соотв-но не выдаются соответствующие свидельства об этом. А так, любой может получить серт на вымышленное имя, при условии, что он предоставит следующее: > Documentation of your trading name and address and whom you are, this could be a > combination of your driving license or passport and a bank statement addressed to you > as your fictitious/trading name, or similar combinations.
Здравствуйте, squiz, Вы писали:
ASX>>Что о них можно узнать ? S>Зависит от того что интересует.
При скачивании проги с интернета меня интересует одно — нет ли там какого червя или вируса. Фсе!
S>Важно то что я с большей уверенностью могу сказать что если сертификат выдан ААА то это и есть ААА.
Ну и? Еще раз спрошу, что тебе это дает?
Кстати, а откуда такая уверенность, что это будет именно AAA, а не человек нашедший driver license, которое потерял AAA, или левая фирма однодневка?
ASX>Ну и? Еще раз спрошу, что тебе это дает? ASX>Кстати, а откуда такая уверенность, что это будет именно AAA, а не человек нашедший driver license, которое потерял AAA, или левая фирма однодневка?
Что предлагаете? Выдавать электронный сертификат в налоговой инспекции при личном появлении и наличии зарегистрированного ООО или ПБОЮЛ? Расписаться в выдаче и хранить сертификат как БСО?
Здравствуйте, uuu2, Вы писали:
ASX>>Кстати, а откуда такая уверенность, что это будет именно AAA, а не человек нашедший driver license, которое потерял AAA, или левая фирма однодневка?
U>Что предлагаете?
Вшивать в кору головного мозга, чтобы нельзя было выковырять
Ничего я не предлагаю, просто, с точки зрения юзера, ставлю под сомнение ценность этих сертификатов. С точки зрения производителя ПО понимаю, что они нужны (вынуждают их брать) для параноидальной винды/юзеров.
Здравствуйте, ASX, Вы писали:
ASX>Кстати, а откуда такая уверенность, что это будет именно AAA, а не человек нашедший driver license, которое потерял AAA, или левая фирма однодневка?
Вот вы — точно сам ASX или человек, случайно (специально) подобравший пароль ASX?
Ну если так размышлять, то вообще на в чем нельзя быть уверенным. А где гарантия что [впишите имя любой фирмы или человека] ввобще существуют и это не подстава (развод итд)?
"Doc" <3899@users.rsdn.ru> wrote in message news:2202073@news.rsdn.ru... > Ну если так размышлять, то вообще на в чем нельзя быть уверенным. А где гарантия что [впишите имя любой фирмы или человека] ввобще существуют и это не подстава (развод итд)?
Немного оффтопик. У меня недавно случай был. Юзер скачал программку, которая не требует инсталляции, т.е. просто exe файл, кинул на раб. стол и пользуется. И тут как-то раз пишет, дескать прога супер, я счастлив но винды зае****ли выдавать каждый раз угрожающие окошки про отсутствующую подпись. На что я ему посоветовал скопировать файл один раз на FAT раздел и обратно, чтобы обрубить NTFS stream который как раз цепляется к файлу и вызывает эти угрозы. Он так и сделал, и долго меня благодарил, сказав что он порекомендует этот способ избавления от назойливых предупреждений друзьям
Здравствуйте, wellwell, Вы писали:
W>На что я ему посоветовал скопировать файл один раз на FAT раздел и обратно, чтобы обрубить NTFS stream который как раз цепляется к файлу и вызывает эти угрозы.
Все проще. В Explorer делаем правый клик на программу и в откывшемся меню выбираем Proprties.
В низу окна Properties есть замечение что файл пришел "from another computer" и кнопка счастья "unblock".
"Doc" <3899@users.rsdn.ru> wrote in message news:2202203@news.rsdn.ru... > Все проще. В Explorer делаем правый клик на программу и в откывшемся меню выбираем Proprties. > В низу окна Properties есть замечение что файл пришел "from another computer" и кнопка счастья "unblock". > И никакого FAT не надо
Здравствуйте, Doc, Вы писали:
Doc>Все проще. В Explorer делаем правый клик на программу и в откывшемся меню выбираем Proprties. Doc>В низу окна Properties есть замечение что файл пришел "from another computer" и кнопка счастья "unblock". Doc>И никакого FAT не надо
Здравствуйте, wellwell, Вы писали:
W>Немного оффтопик. У меня недавно случай был. Юзер скачал программку, которая не требует инсталляции, т.е. просто exe файл, кинул на раб. стол и пользуется. И тут как-то раз пишет, дескать прога супер, я счастлив но винды зае****ли выдавать каждый раз угрожающие окошки про отсутствующую подпись. На что я ему посоветовал скопировать файл один раз на FAT раздел и обратно, чтобы обрубить NTFS stream который как раз цепляется к файлу и вызывает эти угрозы. Он так и сделал, и долго меня благодарил, сказав что он порекомендует этот способ избавления от назойливых предупреждений друзьям
На первой странице свойств таких "помеченных" экзешников внизу есть кнопка Unblock. Так же работает.
Поширше бы чтоли Firefox и Opera уже распространились. Они не помечают скачанные файлы и вообще ведут себя более пристойно в некоторых смыслах. А эти сертификаты, дополнительные стримы и окошки с вопросами — это же полная хрень, никого ни от чего не защищающая на деле. Для злоумышленников это точно не преграда, как регистрация в Москве для настоящих террористов Только лишний головняк пользователям и траты на сертификацию для вендоров.
Я бы кстати подписался под каким-нибудь некоммерческим проектом против засилья лишней секурности. Что-то типа FSF, но не за открытые исходники, а за отсутствие лишних окошек и платы за убирание надписи Unknown Publisher. Например можно сделать сайт, на котором объяснить пользователям что это за окошки такие и как от них избавиться. Еще можно сделать альтернативного CA для членов проекта и предлагать поставить Root вручную чтобы софт от любого участника мог запускаться без лишних вопросов. Это технически в общем то несложно реализовать, но надо чтобы это еще получило некоторую известность чтобы люди не шарахались.
Здравствуйте, Euro, Вы писали:
E>Поширше бы чтоли Firefox и Opera уже распространились. Они не помечают скачанные файлы и вообще ведут себя более пристойно в некоторых смыслах.
Здравствуйте, ASX, Вы писали:
ASX>При скачивании проги с интернета меня интересует одно — нет ли там какого червя или вируса. Фсе!
Короче каждому свое. У меня например этим интересуется мой антивирус. я себе таким мозги не парю.
?
Значит, путь один — просить сертификат у VeriSign, Comodo и тп.
да ты все правильно резюмировал
