WinQual: Почему WER не принимает сертификаты подписи кода?

Изменить с 24.01.2012: теперь нельзя использовать другие доверенные сертификационные центры. Вопрос и ответ не устарели:

WinQual все еще отклоняет подпись:

когда мы уже установили, что это действительная цифровая подпись:

Для полноты, я оставлю править ниже, что кто-то еще сделал; просто указать, насколько он ошибался. И он может жить с этим позором:

Изменить с 2014 года: теперь можно использовать другие доверенные сертификационные центры. Вопрос и ответ устарели.

В 2005 году я попытался создать учетную запись WinQual с Microsoft, так что я мог бы получить наши (если есть) файлы дампов сбоев, отправленные автоматически через Windows Error Reporting (WER). Мне не разрешили иметь свалку, потому что у меня нет сертификата Verisign. Вместо этого у меня есть более дешевый, созданный дочерней компанией Verisign: Thawte.

Метод, в котором вы присоединяетесь: вы подписываете цифровую форму образца, который они предоставляют. Это доказывает, что вы являетесь тем же подписывающим лицом, что подписали приложения, в которых они получили аварийные дампы из дикой местности.

Криптографически секретный ключ необходим для создания цифровой подписи в исполняемом файле. Только владелец этого закрытого ключа может создать подпись для соответствующего открытого ключа. Неважно, кто создал этот закрытый ключ. Это включает сертификаты, созданные из:

собственной подписи
Wells Fargo
DigiCert
SecureTrust
Trustware
QuoVadis
GoDaddy
Entrust
Cybertrust
GeoTrust
GlobalSign
Comodo
Thawte
Verisign

Однако Microsof WinQual принимает только цифровые сертификаты, созданные Verisign. Даже дочерние компании Verisign недостаточно хороши (Thawte).

Может ли кто-нибудь подумать о какой-либо технической, юридической или этической причине, по которой Microsoft не хочет принимать сертификаты подписи кода? Сайт WinQual говорит:

Почему требуется цифровой сертификат? для участия в Winqual? 

Цифровой сертификат помогает защитить вашей компании от лиц, которые ищут выдать себя за своих сотрудников или которые в противном случае совершали бы действия мошенничество с вашей компанией. Используя цифровой сертификат позволяет личность для пользователя или организация.

Как-то цифровой сертификат Thawte не защищен?

Два года спустя я отправил напоминание в WinQual, которое я ожидал, чтобы получить доступ к моим дампам аварий. Ответ от команды WinQual:

Здравствуйте,

Спасибо за напоминание. У нас есть уведомил соответствующих людей о том, что это все еще запрос.

В 2008 году я задал этот вопрос на форуме поддержки Microsoft, и ответ был:

Мы настроены только на прием VeriSign Сертификаты на данный момент. У нас есть не было подавляющего требования к поддержка других типов сертификатов.

Что может означать, что не нужно "устанавливать", чтобы принимать другие виды сертификатов?

Если отпечаток ключа, который подписывал тестовое приложение WinQual.exe, совпадает с отпечатком, который подписал исполняемый файл, который сбил дамп, который вы получили в дикой природе: это доказано - это мои свалки, дайте их мне.

И это не похоже на специальный API для проверки правильности цифровой подписи Verisign, в отличие от всех других цифровых подписей. Действительная подпись действительна независимо от того, кто сгенерировал ключ.

Microsoft может не доверять подписчику, но это не то же самое, что и идентификация.

Итак, это мой вопрос, может ли кто-нибудь подумать о какой-либо практической причине, почему WinQual не настроен для поддержки цифровых подписей?

Один человек предположил, что ответ заключается в том, что они просто ленивы:

Не знаю, но я бы предположил что команда, управляющая winQual система - живая команда, а не разработчик команда - как, личность и набор навыков направленных на поддержание существующих системы. Возможно, я ошибаюсь.

Они не хотят делать работу, чтобы изменить ее. Но может ли кто-нибудь подумать обо всем, что нужно изменить? Это та же логика, независимо от того, что сгенерировал ключ: "соответствует ли отпечаток пальца".

Что мне не хватает?

Update

Приятно слышать истории других разработчиков. Таким образом, я знаю, что я не один, и этот вопрос может служить средством для изменения в части Microsoft. И даже если мое первоначальное намерение было жалобным выражением, чтобы сохранить этот действительный вопрос StackOverflow, я ищу техническую причину, по которой Microsoft может принимать сертификаты Verisign.

API-интерфейс crypto не заботится о том, что имя компании, выдавшей сертификат: оно заботится только о том, что цепочка подписчиков возвращается к доверенному корню.

Что может случиться, что Microsoft специально не использует установленную криптоинфраструктуру, а ограничивается собой Verisign?

Если кто-нибудь может указать на любую запись в блоге, где менеджер или разработчик программы объясняет почему, я бы, возможно, был удовлетворен.

Обновить два

Кажется, что люди не понимают моего вопроса. Windows уже имеет инфраструктуру кода, гарантирующую, что сертификат цифровой подписи заслуживает доверия. Вот скриншот цифровой подписи на одном из наших подписанных исполняемых файлов.

Вы можете видеть, что наш сертификат был подписан сертификатом полномочий Thawte Code-Signing, который, в свою очередь, подписан Thawte:

alt text http://i34.tinypic.com/2hi2cr8.jpg

И сертификат "thawte" отправляется по умолчанию в Windows:

alt text http://i38.tinypic.com/ydfr.jpg

Thawte Premium Server CA достаточно хорош, чтобы каждая копия Windows и Internet Explorer уже доверяла ему. И уже существует установленный API, чтобы проверить, действительно ли сертификат (т.е. Доверенный).

Когда появятся парни из WinQual, им пришлось бы уйти со своего пути, чтобы избежать правильной проверки, а вместо этого развернуло собственное решение, жестко кодируя только Verisign как доверенный корень, Почему они отправятся из своего пути, чтобы игнорировать другие доверенные корневые органы, власти, которые отправляют на компьютер Windows, что их код работает, а вместо этого жесткий код Verisign

Вместо того, чтобы делать это так, как делают все остальные (Windows Explorer, Firefox, Chrome, Internet Explorer, Opera, CertMgr и т.д.), они специально разрешают Verisign. И мой вопрос: почему.

Why would WER not accept code-signing certificates?

Если это было просто:

потому что парень, который начал писать, не знал правильного пути с головы.
и вместо того, чтобы проводить много времени, исследуя правильный путь
он просто что-то бросил.
и просто для тестирования он жестко закодирован только одним подписывателем
с полным намерением вернуться позже и зафиксировать его
но код теперь работает
и он продолжал жить без фиксации.
и никто не хочет брать на себя ответственность за его нарушение.
и никто не хочет тратить деньги, чтобы исправить это.
и недостаточно клиентов жалуются, чтобы сделать его высокоприоритетным.
и даже если было много людей, жалующихся, это всего лишь $99, чтобы купить Verisign
так что не могли бы вы просто отпустить его и купить Verisign?

... это будет хорошо. Кроме того, я не верю в это. Я не считаю, что это был тестовый код, который был выпущен в производство. я понимаю, что это сознательное, конкретное решение, которое заставило их игнорировать других подписчиков. И что они делают и будут продолжать, только честь Verisign.

Но для жизни меня я не могу придумать причину.

Ответ 1

Я только что подписался на WinQual, и я рассматривал этот вопрос; Думаю, теперь у меня есть ответ.

Вкратце: Они не используют VeriSign в качестве сертификата вообще: они просто выполняют аутсорсинг задачи проверки вашей личности.

Microsoft не хочет, чтобы у вас был доступ к сайту WinQual без предварительной проверки вашей личности. Поэтому им необходим процесс проверки идентификации.

У них может быть отдел, который взимает с вас $99, и делает проверку. Но у них уже есть значительные запасы в VeriSign, у которых уже есть сотрудники, которые могут это сделать. Поэтому они используют процесс регистрации сертификата для проверки вашей личности. Он вообще не использует сертификат, он просто поручает VeriSign задачу проверить вас.

Обратите внимание, что они не требуют, чтобы вы продолжали поддерживать сертификат VeriSign, чтобы сохранить свою учетную запись: это просто разовая плата за присоединение к сайту.

Потому что это случай, когда Microsoft проверяет вашу личность, и они доверяют VeriSign, потому что у них есть пальцы в этом пироге, и они не очень доверяют Comodo, они хотят, чтобы вы использовали VeriSign для этой цели, а не другие сертификат. Это кажется немного глупым с точки зрения разработчика, но я понимаю это с их точки зрения.

Ответ 2

Хорошо, я просто разместил еще один запрос, в основном говорящий, что мы не будем участвовать, если они не примут сертификат Comodo Code Signing.

Microsoft связалась с нами, чтобы сообщить нам, что у нас есть отчеты по Windows 7, на которых они хотят, чтобы мы смотрели, но мы не можем войти, потому что мы не используем Verisign. Хорошо, ты связался со мной... Насколько мне больше нужно пройти проверку подлинности?

Я связался с менеджером продукта, посмотрим, что произойдет.

И чтобы ответить на ваш полу-риторический вопрос выше - нет причин, по которым они не могут аутентифицировать другие подписанные EXE. Windows делает это, IE делает это, код уже там. Они не должны делать ничего особенного, чтобы поддержать его.

UPDATE:

После разговора с представителем Microsoft мне было сказано, что вы должны купить как минимум $99 верный сертификат, чтобы "проверить" и получить отчеты об ошибках. Lame.

Ответ 3

Сделав Подписание кода и недавно зарегистрировавшись в Winqual, выполните следующие пояснения:

Для регистрации Winqual (регистрация) ваша подпись сама не проверяется в базе данных Winqual. Winqual проверяет только сертификат VeriSign, который подтверждает, что VeriSign проверил вашу личность. Затем они получают название вашей компании из вашей подписи.
На следующем шаге вам нужно создать один или несколько "файлов сопоставления продуктов" (используя инструмент от Microsoft) и загрузить их в Winqual. После этого серверы Winqual проверяют несколько терабайт базы данных сбоев на все файлы карт и предоставляют вам список "событий". (Эта подпись, которую вы использовали для подписи кода, поэтому довольно неуместна.)
Существует никаких технических причин, по которым Microsoft не может принимать другие сертификационные органы. Но: как они выиграют от этого? Также существует специальная программа для получения одногодичного сертификата подписи кода от VeriSign за 99 долларов США, и если вы сравните это с затратами на цепочку инструментов разработки или членство в MSDN/TechNet, это не совсем дорого.
В нашем случае получение сертификата от VeriSign было простым и быстрым - весь процесс был завершен в течение двух дней. (Мы не в США, поэтому я ожидал задержек.) [Только для уточнения: вы сами создаете свою подпись, и она состоит из company_private_key (используется для подписания) и company_public_key (для проверки вашей подписи кода). Любой центр сертификации (например, VeriSign) просто встречает знак вашей компании_public_key своим личным ключом. Это делает ваш сертификат поддающимся проверке.]
Мы не знали, что сертификат VeriSign $99 также может использоваться для подписи кода (это не только идентификатор организации). Поэтому сначала мы отправились в другой ЦС для подписи кода. Затем мы получили сертификат VeriSign для регистрации Winqual.
Microsoft публикует на WHDC и Winqual информацию о том, какие поставщики подписей принимаются для какого типа подписания. Вы действительно не можете обвинять их в себе, не читая это, прежде чем получать сертификат из другого ЦС, не так ли?

Надеюсь, это может помочь пролить свет.

Ответ 4

Одинаковая история здесь, я сертифицирую приложение для логотипа Win7, чтобы получить очки для программы MS Partnership. Я купил сертификат подписи кода Comodo. Приложение прошло тест, и теперь я пытаюсь настроить учетную запись Winqual и после того, как изначально разозлился о покупке другого сертификата подписи, я получил 5-дневную задержку, пытаясь купить этот "Организационный сертификат" за 99 долларов. Ни в коем случае, "регистрация сертификатов SSL VeriSign временно недоступна. Повторите попытку позже". И поддержка может быть и худшим из когда-либо встречавшихся. OMG... попробуйте хотя бы прочитать описание проблемы или даже попытайтесь воспроизвести шаги, не просто дайте мне какое-то глупое решение для базы знаний для другой проблемы. Или просто скажите, что услуга недоступна, она будет доступна через 5 дней. Так расстраивает...

Просто обновите, если у кого-то такая же проблема, я, наконец, получил ответ на проблему регистрации и сделал заказ. (Я думаю, вам нужно получить нужного парня в технической поддержке:)

"Наши искренние извинения. Эта ошибка возникает из-за ошибки в регистрации организационного сертификата. Эта ошибка возникает, если в раздел" Информация о сертификате "(третий шаг) регистрации входит любая другая страна, кроме США. был повышен до инженеров, которые сейчас работают над его исправлением. Тем временем вы можете сделать следующее, чтобы пройти мимо ошибки и завершить регистрацию: В разделе "Информация о сертификате" зачисления введите страну как "США" и государство как "Калифорния". Вся остальная информация может быть правильной. После завершения регистрации и отправьте нам номер заказа для вашего сертификата, а также правильные значения для страны и штата для вашей компании в ответ на это письмо. Мы отредактируем заказ в нашей системе и внесем правильные значения компании и страны, прежде чем мы выдадим сертификат. Затем сертификат, который мы выдаем вам, содержит правильную информацию.

Ответ 5

Ха! Я столкнулся с той же схемой с нашим сертификатом Comodo. Это типичное поведение хулиганов, их ответы - полная бессмыслица. Во всяком случае, я не доверяю Verisign больше, чем Comodo и Thawte и т.д. Не забывайте, что они пробовали некоторое время назад.

Ответ 6

Здесь есть место для поддержки изменения: https://connect.microsoft.com/site831/feedback/details/531903/allow-other-certificates-in-winqual-not-only-verisign

Ответ 7

У нас была такая же проблема. Они не приняли сертификат подписи кода Comodo. По всей вероятности, он увеличит свой групповой доход (VeriSign/VeriTest, который принадлежит MS). Я не верю, что у них не было много запросов на использование сертификатов, отличных от VeriSign. Однако какой у вас выбор...?

Ответ 8

Проблема действительно идет глубже.

Для сохранения особого статуса повторная сертификация одного из наших продуктов должна была произойти. Конечно, это можно сделать только через VeriTest. Чтобы сэкономить деньги и уметь реагировать на проблемы, прежде чем они их заметят, мы решили выбрать вариант самопроверки, который позволяет нам самим тестировать наше программное обеспечение с помощью так называемых инструментов "Работает с" от Microsoft.

В то время как в документации говорится, что вам нужно, чтобы весь код вашего двоичного кода был подписан с сертификатом подлинности для проверки проверки для Windows Server 2008 R2, никто не упоминает, что это фактически необязательно и не повлияет на результаты теста (пока вы не фактически находятся на странице отчета, в которой говорится, что этот шаг является необязательным и не повлияет на результаты теста).

Однако до этого мы уже купили сертификат Comodo, так как он был всего лишь четвертью стоимости сертификата VeriSign и в любом случае делает то же самое.

Вскоре после успешной повторной сертификации мы получили уведомление о текущем событии Virtual Launch от Microsoft и о возможности его участия (что очень важно). Однако для регистрации нам нужно ввести WinQual и угадать, что... для этого, конечно, нам нужен сертификат компании VeriSign WinQual (по крайней мере).

Что действительно смешно, так это то, что в течение как минимум двух дней соответствующий веб-сайт VeriSign не был доступен. Еще три дня сейчас получить такой сертификат невозможно, и до сих пор они даже не отвечали на запросы поддержки.

Было бы здорово, если бы какая-то другая компания начала размещать платформу, похожую на WinQual, за исключением того, что она действительно принимает сертификаты от ВСЕХ серьезных издателей?

Джоэл... Джефф,... давай. Что-то для вас:

"[...] exhandler.com похож на winqual, но без зла.