Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Дмитрий77
Member

Откуда:
Сообщений: 4457
Подписаны основные exe и dll, все подряд подписывать привычки нет.
Плюс инсталлятор setup.exe

Поясню почему спрашиваю.

Предыдущая программа содержала драйвер (критично для x64).
Обратил внимание что иногда на момент установки драйвера В НЕКОТОРЫХ СЛУЧАЯХ таки выводились красные предупреждения (хотя он и устанавливался и работал).
Извратился (для гарантии) так: setup.exe перед установкой драйвера копирует сертификат + нек. другие сертификаты из цепочки в хранилище сертификатов. CertMgr.exe в дистрибутив для этого засовывал. Тупая надо сказать процедура и думаю неправильная. А что делать?

Сейчас делаю дистрибутив новой программы. Драйверов (чтоб без подписи не работали) там нет, но к хорошему привык (да и зря что ли за подпись плачу) и ряд exe-шников + setup.exe подписаны.

Устанавливаю чистый Win7 x64 для теста.
Сразу после установки жму свой подписанный setup.exe.
Он пишет "Неизвестный издатель" (желтым).

Потом правда через пару минут написал "известный" (зеленым).

В данной ситуации конечно "принудительно скопировать" сертификаты никак (только жму setup.exe)

Т.е. как к этой всей кухне относиться?
И надо ли пытаться "принудительно" запихивать сертификаты в хранилище при установке программы?
Т.е. смысл что произвольные винды не всегда с ходу определяют "доверенного издателя".
10 июл 13, 01:09    [14544433]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Дмитрий77
Member

Откуда:
Сообщений: 4457
Что, все сидят в левых виндах с кривыми HackerVistaLoader и никто не знает что такое Microsoft Code Signing?
Мне казалось я простой стандартный вопрос задал.
12 июл 13, 17:16    [14559691]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Basil A. Sidorov
Member

Откуда:
Сообщений: 10784
Дмитрий77
Мне казалось я простой стандартный вопрос задал.
Возвращаю ваш вопрос: что все использующие винду каждый день разрабатывают драйверы?
12 июл 13, 23:14    [14561023]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Gator
Member

Откуда: Москва
Сообщений: 14980
Эээ...
Напр., Zyxel, Cisco, смартфонщики etc плевать хотели на MS.

Соответственно, MS честно спрашивает юзверя: ты доверяешь устанавливаемуму "драйверу"?
Доверяешь? Привет, железка.
Нет? Прощай, железка.

Или вы о другом?
12 июл 13, 23:42    [14561123]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Дмитрий77
Member

Откуда:
Сообщений: 4457
Basil A. Sidorov
что все использующие винду каждый день разрабатывают драйверы?


В данном случае речь не идет конкретно о драйвере, хотя сертификат "тот самый":
Дмитрий77
Драйверов (чтоб без подписи не работали) там нет, но к хорошему привык (да и зря что ли за подпись плачу) и ряд exe-шников + setup.exe подписаны.


Gator
Соответственно, MS честно спрашивает юзверя: ты доверяешь устанавливаемуму "драйверу"?
Доверяешь? Привет, железка.
Нет? Прощай, железка..

Если говорить о драйверах, то на x64 >=Vista MS еще и посылает если драйвер не подписан.

Gator
Напр., Zyxel, Cisco, смартфонщики etc плевать хотели на MS..

Плевать может и хотели БЫ но на x64 с драйверами особо не поплюешь.

А суть моего вопроса в следующем.
Когда устанавливаешь (или запускаешь под админом) любую программу (а не драйвер):
Gator
Соответственно, MS честно спрашивает юзверя:..

Но спрашивает он это по разному.

Может спросить культурно (это если exe-шник подписан):
Хотите ли Вы установить программу от ДОВЕРЕННОГО ИЗДАТЕЛЯ Software Company(Verified Publisher), bla-bla-bla, да-да-да ?

А может спросить так (это если "Вот плевал я с Эйфелевой башни на головы беспечных парижан" (В. Высоцкий)):
Хотите ли Вы установить программу от НЕИЗВЕСТНОГО ИЗДАТЕЛЯ (Unknown), bla-bla-bla нах-нах-нах?

Разницу чувcтвуете?
Я раньше плевал.
А америкос который собирается платить (или НЕ платить) за "плевалку" 500 зеленых очень даже чувствует. Улавливаете интерес плевальщика?

Так вот я ДОВЕРЕННЫЙ ИЗДАТЕЛЬ и у меня Setup.exe подписан.
Но при этом может получиться следующее:
Дмитрий77
Устанавливаю чистый Win7 x64 для теста.
Сразу после установки жму свой подписанный setup.exe.
Он пишет "Неизвестный издатель" (желтым).

Потом правда через пару минут написал "известный" (зеленым)..


И я с этим Visual ГЛЮК частично боролся, тупо добавляя сертификаты в хранилища первым действием инсталлятора (с НЕнастоящим или тестовым сертификатом такой трюк все равно не пройдет, издатель доверенным не станет).

Т.е. я хочу знать как эта кухня работает, как винды распознают НАСТОЯЩИЙ сертификат, и почему иногда с ходу не распознают. И надо ли им "помочь" это побыстрее сделать, принудительно заталкивая сертификат в хранилище при установке проги или они сами должны это сделать?
13 июл 13, 01:15    [14561372]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Gator
Member

Откуда: Москва
Сообщений: 14980
Дмитрий77
А может спросить так (это если "Вот плевал я с Эйфелевой башни на головы беспечных парижан" (В. Высоцкий)):
Хотите ли Вы установить программу от НЕИЗВЕСТНОГО ИЗДАТЕЛЯ (Unknown), bla-bla-bla нах-нах-нах?
yellow, orange на litegrey - в топку!
Так MS спрашивает про неизвестного ЕЙ (не подписанного).
Но тебе то известно, откуда ноги растут!
Если не доверяешь софтинам той же Киски, зачем железку покупал?
Дмитрий77
Т.е. я хочу знать как эта кухня работает
Т.е. курс криптографии что ли? :))
13 июл 13, 02:02    [14561450]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Дмитрий77
Member

Откуда:
Сообщений: 4457
Дас...
Gator
Но тебе то известно, откуда ноги растут!

Мне да, а америкосу (который мне баксы платит) извините НЕТ.

Gator
Дмитрий77
Т.е. я хочу знать как эта кухня работает
Т.е. курс криптографии что ли? :))

Не до такой степени.
Есть файл, в нем есть подпись. Винды видят что есть. Но в хранилище сертификатов
Например
IE -> Internet Options -> Content -> Certificates
ни моего сертификата, ни (возможно) промежуточных сертификатов из цепочки (по простому тот кто выдал сертификат мне = тот кому выдал сертификат Microsoft) -их на текущий момент НЕТ - и думаю сразу после установки ОС ситуация именно такая.
Что делают винды?
Идут с вопросом в интернет и сами добавляют нужный промежуточный сертификат (если есть)? И этого достаточно?
Потому что своего я там не вижу (если только не добавлю сам), а вот родительский вроде как появляется. При этом моему он уже доверяет.
13 июл 13, 02:38    [14561488]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Gator
Member

Откуда: Москва
Сообщений: 14980
Эээ... http://technet.microsoft.com/ru-ru/library/cc731183.aspx ?
13 июл 13, 02:45    [14561495]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Дмитрий77
Member

Откуда:
Сообщений: 4457
Gator,

Ну, где-то близко но не совсем то.
Почитал еще вот здесь:
Типы центров сертификации
Речь идет о
Центр сертификации может быть внешним, например VeriSign,

В моем случае цепочка
Certium Trusted Network CA -> Certum Code Signing CA -> <My Software>

Ну вот видят простые юзерские винды (оставим в покое всякие там компании с нагромождениями серверов) setup.exe с <My Software>, видят цепочку...(внутри сертификата), видят Time Stamp тоже соответственно одобренный доверенным центром времени
Certum CA -> Certum Time-Stamping Authority

Действия виндов?
Смотрят в локальное хранилище?
А если там нету Certium Trusted Network CA?
Или Certum CA?

Там так понимаю эти двое (кто выдал и кто проверил время) должны присутствовать в "Trusted Root Certifi..."?
Так?

Если так, то почему их там может не оказаться (например на свежеустановленной системе)? И только ли на свежеустановленной?

Вот что я понять то хочу.

От меня что-то зависит? Ну кроме того что я подписываю свой файл?

Юзер то ничего про это не знает.
Он установил винды и пользует их.
Он собрался устанавливать мой setup.exe.
При этом ему могут показать зеленую тряпку (verified publisher ой как хорошо), ему это нравится.
А могут показать красную тряпку (Unknown Ой что ето? Может вирус? Ай-яй как нехорошо), ему это не нравится.

Вот я и пытаюсь понять, почему ему могут иногда ОШИБОЧНО показать красную вместо зеленой? И что тут от меня еще зависит?

Или это происходит потому что "например VeriSign" ну ОЧ-чень хороший, ОЧ-чень доверенный и ОЧ-чень дорогой, блатной и т.д с точки зрения MS, а Certium типа сойдет но подумаешь случайно сертификата в стандартном приблатненном наборе не оказалось, так фигня. Не?
13 июл 13, 04:22    [14561540]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Дмитрий77
Member

Откуда:
Сообщений: 4457
Но что интересно.
Когда я 1,5 года назад (когда первый раз сертификат покупал - не российская контора) стал задавать подобные вопросы суппорту, то суппорт походу впал в некоторый ступор-таймаут, т.е. где-то через неделю пришел ответ, мол сам все еще жду ответа на ваши вопросы. На что я отписал что ладно не надо, что видимо их обрадовало. Не хотелось людей зря терзать.
13 июл 13, 04:36    [14561544]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Basil A. Sidorov
Member

Откуда:
Сообщений: 10784
Дмитрий77
В данном случае речь не идет конкретно о драйвере, хотя сертификат "тот самый"
Речь о том, что те, кто не разрабатывают драйверы - не используют цифровые подписи. И таких - большинство.
Поэтому выдвигать претензии - несколько невежливо.
13 июл 13, 19:36    [14562267]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Gator
Member

Откуда: Москва
Сообщений: 14980
Дмитрий77
Мне да, а америкосу (который мне баксы платит) извините НЕТ.

Т.е. баксы он платит, а тебе (софту) не доверяет?

Ну... Я не знаю. Мало того, это дело работодателя - обеспечить [необходимыми "сертификатами"]
И драйверы тут тоже не причём. Софтина, напр., от логитека - драйвер что-ли?

Или, например, VirtualBox. Не доверяет ему MS. И что?
Я не доверяю им обоим, но ставлю
13 июл 13, 23:19    [14562830]     Ответить | Цитировать Сообщить модератору
 Re: Если я подписываю программу Microsoft Code Signing (настоящей), нужны ли доп. действия?  [new]
Дмитрий77
Member

Откуда:
Сообщений: 4457
Ребят,

я задал "технический" вопрос касающийся ситуации когда исполняемый файл EXE подписан и MS ему доверяет.

А вы начинаете рассуждать на тему надо или не надо, прилично или не прилично. Если у меня есть подпись, которой я подписываю драйвер (я использую драйвер) и в реквизитах подписи отражено название программы, то не подписывать ей по крайней мере setup.exe и основные файлы программы было бы глупо (хотя и не обязательно), не так ли?

>Мало того, это дело работодателя - обеспечить [необходимыми "сертификатами"]
Я сам себе работодатель и сам обеспечил себя "необходимым сертификатом".
14 июл 13, 12:40    [14563386]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить