Как стать автором
Обновить

Комментарии 19

Идея прекрасная, но. Нужная минимум административная ответсвенность за подписывание своим сертификатом malware.

Иначе кто помешает мне получить у этих чудесных людей сертификат, а потом подписать им очередной винлокер?
Да, у них будет скан моего паспорта, но чем это поможет? Если я, например, сам не распространял malware, а просто подписал его по просьбе своего товарища?

В случае SSL сертификат хотя бы ограничен доменом. А в случае подписи софта — ничем. Каждый может подписать что угодно.
НЛО прилетело и опубликовало эту надпись здесь
Да они ж там с ума могут сойти. OpenSource продукты могут обновляться даже в один день несколько раз (например, так делал PHP, ибо находили баги в релизе). Собирать самим? Какие мощности нужны. Скорее всего просто будут сертификаты отзывать для проштрафившихся. Ну или будете объяснять правоохранительным органам, что «сам не распространял malware, а просто подписал его по просьбе своего товарища».
Ну или будете объяснять правоохранительным органам, что «сам не распространял malware, а просто подписал его по просьбе своего товарища».


На самом деле очень популярный способ разделения ответственности. Знаете как квартиры обворовывают? Один приходит и вскрывает замок, потом уходит (порча замка, хулиганство), второй идет мимо, видит — дверь открыта, выносит телевизор (воровство, но без взлома, статья мягче).
Ну они сами не подписывают софт. Они выдают вам сертификат.
Т.е. вы приходите и говорите «Я разработчик маленькой но гордой утилиты GNU FooBar, хочу подписывать сборки для Винды», они проверяют что есть такая утилита и что вы может даже закоммитили пару десятков патчей туда. Они дают вам сертификат для того что бы вы подписывали эту утилиту. Но в самом сертификате нигде не указано что он только для подписи GNU FooBar. Это ваш личный сертификат разработчика, который мы можете подписывать всё что угодно.
На самом деле сертификат — это не гарантия отсутствия malware. Это гарант того, что: 1) именно лично вы, автор, создали и подписали эту сборку (клиент может быть уверен в этом) и 2) никто по пути следования сборки от вас к клиенту ее не перехватил и не внедрил malware в код.

Думать, что именно ставишь на ПК, анализировать файлы, проверять антивирусом/эвристикой — никто этих мер еще не отменял.

Если раньше сертификатами пользовались преимущественно «гиганты» и сам факт наличия подписи создавал определенный уровень доверия (что вообще «не совсем правильно»), то, с ростом распространенности подписей, наличие оной говорит только о том, что вы действительно скачали GNU FooBar от John Appleseed, и ничего более.

Что касается конкретно Certum — вполне вероятно, что на один проект второй и последующие сертификаты будут выдаваться с уведомлением владельца первого. Если поступит много жалоб на malware — отзыв неизбежен, как и в любом случае.
В том и проблема. Сертификаты продвигаются как гарания отсутствия malware.

Гарантию авторства и гарантию целостности может дать мой публичный ключ выложенный на моем сайте. Сертификат тут не нужен.

Сертификат же говорит о том, что центр сертификации проверил что этого чувака действительно зовут John Appleseed. Но тот ли это John Appleseed, который автор GNU FooBar, или совершенно левый тезка? Так же мы должно доверять всей цепочке доверия (звучит тавтологически, но так и есть) вплоть до корневого сертификата.

Короче, мне кажется что мы скатываемся к спору о том что лучше — иерархическая PKI или сети доверия. Мне кажется, что иерархические PKI умрут когда начнут раздавать бесплатные сертификаты направо и налево, осуществляя лишь минимальную проверку.
А как раньше mail.ru подписывал своим сертификатом все подряд?) Достаточно было лишь вступить в «партнерскую программу». И ничего, никакой ответственности.

Да и вообще, ответственность за подписывание своим сертификатом своей программы — это глупо. Уместно говорить об ответственности за распространение malware независимо от того, есть там подпись или нет.
Но и тут могут быть моменты: лицензионные соглашения (которые мало кто читает), и малварь, который в разных руках служит в разных целях. К примеру — скриншоты с рабочего ПК отправляются админу во время рабочего процесса — это нормально, а скриншоты с домашнего компа отправляются разработчику Васе Пупкину — это уже очень скользкий момент…
Коллеги, те, кто ответил «нет, не планирую» — одумайтесь. Имея на руках реально бесплатную возможность — воспользуйтесь ей и вы сделаете лучше всем своим пользователям без исключения. Результат прямым или косвенным образом коснется всех (спасет в редких случаях от фальш срабатываний AV, поможет под ОС Windows, в том числе и при различных развертываниях в рамках сети и множество других моментов, включая UX feeling в момент получения UAC сообщений).
А если не хочет разработчик светится и давать кому то свой паспорт, и вообще палить персональные данные? С чего вы взяли, что мне, как разработчику, нравится, когда мне говорят что и как мне делать? И без того бесплатный и открытый софт не должен обременятся такими вещами принудительно, ИМХО.
Если не хочет светиться — то не подписывает. В чем проблема? Вы не себя обременяете, а снимаете бремя со своих пользователей, действуя на свое усмотрение и применяете тогда, когда это действительно сыграло бы пользователям на руку. Смотрите пример Sleuthhound ниже.
эм, а если open source не требует компиляции, а просто набор исходных файлов?)

у меня все проекты именно такие. скачал с GitHub и пользуйся ;)
Никто не говорит, что подписывать нужно все и вся. Но если вы осуществляете дистрибуцию инсталлера или бинарников и заботитесь о своих пользователях — то подпись будет разумным плюсом для вашего open source приложения.
Уже 4 года пользуюсь бесплатным сертификатом от Certum для 2 своих OpenSource проектов, все прекрасно работает, сертификат перевыпускают в течении суток. С пол года назад Certum запросил проверку моих проектов на открытость, выслал им названия и описания проектов, веб-сайты, ссылку на лицензию GPL, проверка прошла без проблем, месяц назад перевыпустили сертификат тоже без проблем.
Так что если у вас OpenSource проект, то Certum — это хорошая альтернатива платным сертификатам.
Отличная новость, особенно для тех, кто участвует в опенсорсе, скажем так: «в одно лицо», т.е. двигает только свой продукт. Появился дополнительный стимул допилить один из своих проектов и дополнить его подписью. Спасибо :)
Апдейт: сертификат перестал быть бесплатным, текущая стоимость — €14.00 / €17.22 (пока не ясно, на какой срок выдается сертификат)
Тем не менее, это все равно ниже, чем у ближайшего конкурента — StartSSL ($60)
Жаль
Очень жаль. Попытался гуглить аналоги. Нашло www.cacert.org. Вроде тоже бесплатно. Есть какие-то подводные камни?
Его корневой сертификат не признает ни один распространенный браузер, он не включен в ОС. Пользователям предлагается ставить сертификат в keychain вручную.

Если у вас opensource проект и нет желания покупать сертификат за свои деньги, организуйте краудфандинг :) либо ищите студенческие программы/акции, там можно будет получить сертификат с большой скидкой.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории