Бесплатный Code signing для Open Source от Certum
Запустив сегодня программу, описанную в статье, я увидел следующее предупреждение: 
Бросается в глаза необычный префикс, Open source developer. Кроме того, несколько дней назад я уже видел точно такой же префикс, с другим именем. Напрашивается вывод, что, скорее всего, существует какая-то программа выдачи подобных сертификатов.Несложный поиск показал следующее:
Как известно, пренебрегать безопасностью не стоит. (Если кто не в курсе: цифровая подпись файла защищает его от несанкционированных изменений. Сертификат удостоверяет, что автор подписанного файла — это вы, и никто другой.)В современном мире практически невозможно встретить программу от крупного вендора без цифровой подписи. Все больше моих знакомых начинает обращать внимание на наличие ЦП у запускаемой или устанавливаемой программы, благодаря тому, что Windows выводит эту информацию (см. КДПВ).
На Хабре затрагивали тему подписывания кода несколько раз: общий обзор, советы по упрощению процедуры. Не так давно рассматривался вариант от StartSSL, тем не менее, требующий подтверждения личности class 2 (в терминах StartSSL), уже являющейся платной (в отличие от бесплатной class 1 для доменов).
Сумма в 60–500 долларов — не деньги для хоть сколько-нибудь крупной компании. Но как быть в случае с Open Source? Зачастую подобные проекты (если речь не идет об именах, которые у всех на слуху) не имеют достаточного финансирования либо разрабатываются исключительно на энтузиазме и других нематериальных ценностях.
Для таких случаев можно воспользоваться предложением от польской компании Certum:
Для этого необходимо зарегистрироваться (форма доступна также на русском языке) и отослать на email следующие документы:
Копия ID карты / паспорта / водительского удостоверения и пр, с указанием даты на копии, пометкой «I hereby confirm compliance with the original», датой и личной подписью (подробнее — на сайте). Адрес страницы Open Source продукта. Компания предупреждает, что проверка производится на основе общедоступной информации, поэтому проект должен быть представлен в сети. Как видим, процедура достаточно простая и не занимает много времени (по заявлениям компании — до 24 часов).
Для сертификатов заявляется следующее (перевел только существенные пункты, полную версию см. на сайте):
Упрощенная процедура идентификации личности Соответствие WebTrustSM/TM Корневой сертификат CERTUM входит в список доверенных во всех популярных браузерах и продуктах Microsoft Выдача в течение 24 часов после проверки Хэш SHA1 (на 04.11.2014). Скорее всего, в ближайшем будущем будет предлагаться SHA2. Подпись для расширений .docm, xlsm, .pptm, .xpi, .jar, .war, .ear, exe, .dll, .ocx, .cab, .msi. Бесплатные отзыв или перевыпуск Возможность хранения ключа на smart card Бесплатный time stamp Possible internal and external signatures creation Среди поддерживаемых продуктов: MS Office 2000+, ToolSign.sh и openSSL for UNIX/Linux, Firefox, Key Manager, Jarsigner and verifier из Java JDK 1.5+, SignTool, SignCode, Visual Studio Express Поддержка certificate revocation list (CRL) и Online Certificate Status Protocol (OCSP) Срок выдачи: 1 год Техподдержка 24h Рекомендуемая длина ключа 2048 — 4096 бит, минимальная: RSA/DSA — 2048 бит, EC — 571 бит (NIST K-571 и NIST B-571). Похоже, что безопасность становится трендом, и появляется все больше некоммерческих предложений в разных сферах. Интересно, что нам предложат следующим?
