網域名稱俱樂部

網域名稱俱樂部 (https://www.domainclub.org/index.php)
-   電腦網路相關技術 (https://www.domainclub.org/forumdisplay.php?f=16)
-   -   🔒 經濟部工商憑證,可直接用於 Code Signing (https://www.domainclub.org/showthread.php?t=40414)

chennien 2017-10-13 04:55 PM

🔒 經濟部工商憑證,可直接用於 Code Signing
 
我會申請 Code Signing Certificates (應用程式/程式碼數位簽章) 是為了幫溫度日記推出一支桌面捷徑小程式。
而推出 Windows 應用程式前,最好是能幫 .exe 檔簽名(透過 Windows 10 SDK),不然用戶打開前會顯示 “發行者不明”。

實際上,我們買了兩張證書(都屬於 OV級別),皆須以公司名義提出申請。
一張是 Comodo 的(約 NT$2,500/1年);另一張是工商憑證非 IC卡(NT$420/5年)。

寫這篇就是要告訴大家,
這兩張價格很不一樣的證書,簽發效果完全相同。
直接說結論:買工商憑證來簽就對惹

相同程式,分別以上述兩張簽發後的比較:
https://i.imgur.com/OHkLmux.png

另外,Windows 為配合微軟公司搶錢的策略,
OV級證書在軟體用戶仍少的情形下,都會出現惱人的 SmartScreen。

直到有 “一定人數” 的使用者使用後,這畫面才會消失。
至於 “一定人數” 是多少,就不得而知了。

https://i.imgur.com/iI9vVY5.png

若你一定要去掉 SmartScreen 的干擾,
可以找 DigiCertSymantec 買 EV Code Signing (保護費貴不少囉),這畫面就不會再出現了。


> 同場加映:🔒 Comodo EV SSL 申請及驗證攻略

哈啦 2017-10-13 05:25 PM

陳年版友愈來愈厲害,恭喜先。~yes:bow

surina 2018-06-06 02:54 PM

為什麼你的工商是5年
我的只發1年...
且網站也說只發1年的期限
至於SmartScreen問題
其實沒有 OV證書也可以解除
只要有一定的下載量就可以了
所以跟本沒必要浪費錢買OV證書...
只有EV有用而以
舉個例子:阿榮XX味
他的EXE檔案全沒有證書也是部份不會有SmartScreen問題
我觀查到是看微軟的心情
今年3月有時一段時間只要下載個20次就讓你通過
而現在就算你下載2000次也是不會過

chennien 2018-06-06 08:38 PM

工商憑證(非 IC卡)是 5年效期哦,請見:
moeacaweb.nat.gov.tw/MoeaeeWeb/apply/apply_3.aspx

SmartScreen 我沒有特別研究,但似乎有一定下載量即可解除阻擋。
你可以試試看我們所簽發的 .exe 檔: hearty.me/windows

引用:

作者: surina (文章 206227)
為什麼你的工商是5年
我的只發1年...
且網站也說只發1年的期限
至於SmartScreen問題
其實沒有 OV證書也可以解除
只要有一定的下載量就可以了
所以跟本沒必要浪費錢買OV證書...
只有EV有用而以
舉個例子:阿榮XX味
他的EXE檔案全沒有證書也是部份不會有SmartScreen問題
我觀查到是看微軟的心情
今年3月有時一段時間只要下載個20次就讓你通過
而現在就算你下載2000次也是不會過


surina 2018-06-06 10:37 PM

引用:

作者: chennien (文章 206229)
工商憑證(非 IC卡)是 5年效期哦,請見:
moeacaweb.nat.gov.tw/MoeaeeWeb/apply/apply_3.aspx

SmartScreen 我沒有特別研究,但似乎有一定下載量即可解除阻擋。
你可以試試看我們所簽發的 .exe 檔: hearty.me/windows

你這簽章日期是2017年10月
本來到今年四月時不用簽章只要自個拚下載次數就能通過SmartScreen
結果從五月份開始這個方式似乎失效了
不過你這通過SmartScreen的
如果現在去簽別的程式
是否可立即通過SmartScreen?
我是用ic卡,所以是一年
後來用軟體憑證(PFX)工具
做出來就是5年
只差別沒繳費無法簽sha256
但好像也沒差...
有sha1就夠了

chennien 2018-07-28 12:07 PM

💳 自然人憑證
 
有網友分享,
💳 自然人憑證也可用於簽署程式碼:
“[Code Signing] 利用自然人憑證進行程式碼簽章”

chennien 2018-07-28 12:23 PM

引用:

作者: surina (文章 206230)
不過你這通過 SmartScreen的
如果現在去簽別的程式
是否可立即通過 SmartScreen?

確認可以,微軟是認憑證的。
我有更新程式(重簽),也幫了其他團隊簽發 .exe,沒有阻擋問題。


引用:

作者: surina (文章 206230)
只差別沒繳費無法簽sha256
但好像也沒差...
有sha1就夠了

我簽的時候,
SHA-1 和 SHA-256 是同個 CMD 指令,僅是參數不同。
照理說,可簽一個,應就可簽另一個吧。

accepter 2018-07-28 11:29 PM

版上真的是臥虎藏龍!

Ricado 2018-07-29 11:38 AM

可能要釐清一些核心的觀念。

憑證的格式是公開標準,任何人都可以產生憑證。
只要符合標準格式的憑證,都可以用簽署的工具將憑證內容寫進檔案的標頭位置。

所以 XXX 發的憑證也可以簽,這個沒有太大意義。
不能簽的原因是很多的開發工具預設會幫您擋掉非 CA 核發的憑證。

憑證的用途是在於【信任】。

用在伺服器上面,必須要瀏覽器的信任。如果瀏覽器不信任這個憑證,就算大公司核發的也沒用。這也是 Symantec 被 Chrome 逼到必須把憑證部門賣給 DigiCert 的原因。

軟體簽章的憑證,主要就是作業系統的信任。惡意程式在網頁上所能做的事,惡意程式在電腦上所能做的事,權限差非常多。所以作業系統對 code signing 的要求會更高。這個就是檢視各家憑證核發嚴謹度的考量。
同樣是 OV ,各家審核的條件不同,這些程序都是必須公開的。其中 Symantec,原來的 VeriSign,所有的簽章憑證都必須執行實質的審查,和 EV 一樣,這一部分比 Comodo 嚴謹很多。Comodo 幾乎是比照伺服器憑證的審查流程。到目前為止,微軟針對軟硬體商送測的軟體或是driver所要求的憑證,並不包含 Comodo。

關於憑證的傷害,有興趣的可以看一部紀錄片,Zero Days 零日網路站。
裡面的主角,美國 CIA、以色列,苦主伊朗、台灣兩個科技"大"廠。
簡單的說,台灣科技大廠的憑證被偷,簽了惡意軟體,因此能躲過作業系統的防護。

surina 2018-09-02 11:03 AM

引用:

作者: chennien (文章 206229)
工商憑證(非 IC卡)是 5年效期哦,請見:
moeacaweb.nat.gov.tw/MoeaeeWeb/apply/apply_3.aspx

SmartScreen 我沒有特別研究,但似乎有一定下載量即可解除阻擋。
你可以試試看我們所簽發的 .exe 檔: hearty.me/windows

恩,真是怪怪的
還找不到規則


所有時間均為 +8。現在的時間是 07:25 AM

Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2018,Jelsoft Enterprises Ltd.