para instalar importar firma exportar electronica como certificados certificado asistente windows error-reporting winqual bumptop

importar - instalar certificado.pem windows 7



WinQual: ¿Por qué WER no aceptaría certificados de firma de código? (8)

¡Decir ah! Me he encontrado exactamente con el mismo esquema con nuestro certificado Comodo. Este es el comportamiento típico de un matón, sus respuestas son un completo disparate. En todo caso, desconfío de Verisign más que Comodo y Thawte, etc. No olvidemos lo que intentaron hace un tiempo .

Edición a partir del 1/24/2015 : No es posible usar otras autoridades de certificados de confianza ahora. La pregunta y la respuesta no son obsoletas:

WinQual aún rechaza la firma:

Cuando ya hemos establecido que es una firma digital válida:

Para completar, dejaré la edición a continuación que alguien más hizo; Sólo para señalar lo equivocado que estaba. Y él puede vivir con esa vergüenza:

Edición a partir de 2014: es posible utilizar otras autoridades de certificación de confianza ahora. La pregunta y la respuesta son obsoletas.

En 2005 traté de establecer una cuenta de WinQual con Microsoft, por lo que podría recuperar nuestros archivos de volcado de fallos (si los hubiera) enviados automáticamente a través del Informe de errores de Windows (WER). No se me permitió tener mis archivos de volcado porque no tengo un certificado de Verisign. En cambio, tengo uno más barato, generado por una subsidiaria de Verisign: Thawte.

El método en el que se une es: usted firma digitalmente un ejemplo de ejemplo que proporcionan. Esto demuestra que usted es el mismo firmante que firmó las aplicaciones de las que obtuvieron los volcados de emergencia en la naturaleza.

Criptográficamente, la clave privada es necesaria para generar una firma digital en un ejecutable. Solo el titular de esa clave privada puede crear una firma para la clave pública correspondiente. No importa quién generó esa clave privada. Eso incluye certificados que se generan a partir de:

Sin embargo, WinQual de Microsof solo acepta certificados digitales generados por Verisign. Ni siquiera las filiales de Verisign son lo suficientemente buenas (Thawte).

¿Alguien puede pensar en alguna razón técnica, legal o ética por la que Microsoft no quiera aceptar certificados de firma de código? El sitio de WinQual dice:

¿Por qué se requiere un certificado digital para la membresía Winqual?

Un certificado digital ayuda a proteger su empresa de las personas que buscan hacerse pasar por miembros de su personal o que de otra manera cometerían actos de fraude contra su empresa. El uso de un certificado digital permite la prueba de una identidad para un usuario o una organización.

¿Es un certificado digital Thawte no seguro de alguna manera?

Dos años más tarde, envié un aviso a WinQual para avisarle que había estado esperando para poder llegar a mis basureros. La respuesta del equipo de WinQual fue:

Hola,

Gracias por el recordatorio. Hemos notificado a las personas apropiadas que esto sigue siendo una solicitud.

En 2008 hice esta pregunta en un foro de soporte de Microsoft, y la respuesta fue:

Solo estamos configurados para aceptar certificados de VeriSign en este punto. No hemos tenido una demanda abrumadora de soportar otros tipos de certificados.

¿Qué significa posiblemente no estar "configurado" para aceptar otros tipos de certificados?

Si la huella digital de la clave que firmó la aplicación de prueba WinQual.exe es la misma que la firma que firmó el volcado de ejecución que tienes en la naturaleza: está comprobado: son mis volcados de memoria, entrégalos .

Y no es como si hubiera una API especial para verificar si una firma digital de Verisign es válida, a diferencia de todas las demás firmas digitales. Una firma válida es válida sin importar quién generó la clave.

Microsoft es libre de no confiar en el firmante, pero eso no es lo mismo que la identidad.

Así que esa es mi pregunta, ¿alguien puede pensar en alguna razón práctica por la que WinQual no esté configurado para admitir firmas digitales?

Una persona teorizó que la respuesta es que son simplemente perezosos:

No lo sé, pero supongo que el equipo que administra el sistema winQual es un equipo en vivo y no un equipo de desarrollo, como la personalidad y las habilidades orientadas al mantenimiento de los sistemas existentes. Aunque podría estar equivocado.

No quieren hacer un trabajo para cambiarlo. Pero, ¿alguien puede pensar en algo que deba ser cambiado? Es la misma lógica, no importa lo que haya generado la clave: "coincide la huella digital".

¿Qué me estoy perdiendo?

Actualizar

Es bueno escuchar las historias de otros desarrolladores. De esta manera sé que no estoy solo, y la pregunta puede servir como un vehículo para el cambio por parte de Microsoft. E incluso si mi intención original era una queja de queja, para mantener esto como una pregunta válida de StackOverflow, estoy buscando una razón técnica por la que Microsoft solo podía aceptar certificados de Verisign.

A la API criptográfica no le importa el nombre de la compañía que emitió un certificado: solo le importa que la cadena de firmantes vuelva a una raíz confiable.

¿Qué podría estar ocurriendo que Microsoft específicamente no está utilizando la infraestructura criptográfica establecida, sino que se limita a Verisign?

Si alguien pudiera apuntar a alguna entrada de blog, donde un administrador de programas o desarrollador explique por qué , tal vez estaría satisfecho.

Actualización dos

La gente parece estar perdiendo el punto de mi pregunta. Windows ya tiene la infraestructura de código para garantizar que una autoridad raíz confíe en un certificado de firma digital. Aquí hay una captura de pantalla de una firma digital en uno de nuestros ejecutables firmados.

Puede ver que nuestro certificado fue firmado por el certificado de autoridad de firma de código de Thawte, que a su vez está firmado por Thawte:

texto alt http://i34.tinypic.com/2hi2cr8.jpg

Y el certificado "thawte" se envía de forma predeterminada con Windows:

texto alt http://i38.tinypic.com/ydfr.jpg

La CA de Thawte Premium Server es lo suficientemente buena como para que todas las copias de Windows e Internet Explorer ya confíen en ella. Y ya existe una API establecida para verificar si un certificado es válido (es decir, confiable).

Cuando vinieron los chicos de WinQual, tendrían que haberse salido de su camino para evitar la comprobación de la forma correcta, y en su lugar lanzaron su propia solución, codificando solo a Verisign como una raíz confiable. ¿Por qué harían todo lo posible por ignorar a las otras autoridades raíz de confianza, a las autoridades que se envían en la máquina con Windows en la que se ejecuta su código y, en cambio, a Verisign con código de seguridad?

En lugar de hacerlo de la manera en que lo hacen todos los demás (Windows Explorer, Firefox, Chrome, Internet Explorer, Opera, CertMgr, etc.), específicamente solo permiten Verisign. Y mi pregunta es por qué.

Why would WER not accept code-signing certificates?

Si fuera simplemente:

  • porque el chico que al principio lo escribió no sabía la manera correcta de quitarse la cabeza
  • y en lugar de pasar mucho tiempo investigando la manera correcta
  • el acaba de tirar algo juntos
  • y solo para probar el codificado solo el único firmante
  • Con la plena intención de volver más tarde y arreglarlo.
  • pero el código ahora está funcionando
  • Y se puso en marcha sin ser reparado.
  • Y nadie quiere responsabilizarse por romperlo.
  • Y nadie quiere gastar dinero para arreglarlo.
  • y no hay suficientes clientes quejándose para que sea una alta prioridad
  • e incluso si hay muchas personas que se quejan, es solo $ 99 comprar un Verisign
  • Entonces, ¿no puedes simplemente dejarlo ir y comprar un Verisign?

... eso estaría bien. Excepto que no lo creo. No creo que haya sido un código de prueba que se hizo en producción. Tengo la sensación de que es una decisión consciente, específica, que les hizo ignorar a otros firmantes. Y que lo hacen, y seguirán haciéndolo, solo honran a Verisign.

Pero por mi vida no puedo pensar en la razón.

Acabo de registrarme en WinQual y he estado contemplando esta pregunta; Creo que ahora tengo la respuesta.

En resumen: no están utilizando VeriSign como certificado en absoluto: simplemente están subcontratando la tarea de verificar su identidad.

Microsoft no quiere que usted tenga acceso al sitio de WinQual sin verificar primero su identidad. Así que necesitan un proceso de verificación de identificación.

Podrían tener un departamento que le cobre $ 99 y haga la verificación. Pero ya tienen participaciones significativas en VeriSign, que ya cuenta con personal que puede hacer eso. Así que utilizan el proceso de registro para el certificado para verificar su identidad. No utiliza el certificado en absoluto, solo le confía a VeriSign la tarea de verificarlo.

Tenga en cuenta que no es necesario que continúe manteniendo un certificado de VeriSign para mantener su cuenta: solo tiene que pagar una vez para unirse al sitio.

Debido a que este es el caso de Microsoft que verifica su identidad, y confían en VeriSign porque tienen sus dedos en ese pastel, y no confían tanto en Comodo, quieren que use VeriSign para este propósito, no ningún otro certificado. Parece un poco tonto desde el punto de vista del desarrollador, pero puedo entenderlo desde su perspectiva.

Bueno, acabo de publicar otra solicitud que básicamente les dice que no participaremos a menos que acepten el certificado de firma de código Comodo.

Microsoft nos contactó para informarnos que tenemos informes sobre Windows 7 que quieren que veamos, pero no podemos iniciar sesión porque no usamos Verisign. Ok, USTED me contactó ... ¿Cuánto más autenticado necesito para estar?

Me he contactado con el gerente de producto, veremos qué pasa.

Y para responder a su pregunta semi-retórica arriba, NO hay ninguna razón por la que no puedan autenticar otros EXE firmados. Windows lo hace, IE lo hace, el código ya está ahí. No tienen que hacer nada especial para apoyarlo.

ACTUALIZAR:

Después de hablar con el representante de Microsoft, me informaron que debe comprar como mínimo el certificado de nuevo diseño de $ 99 para "validar" y obtener sus informes de errores. Cojo.

Después de realizar la firma de código y el registro de Winqual recientemente, he aquí algunas aclaraciones:

  1. Para el registro (registro) de Winqual, su propia firma no se compara con la base de datos de Winqual. Winqual solo verifica el certificado de VeriSign que prueba que VeriSign verificó su identidad. Luego obtienen el nombre de su empresa de su firma.

  2. En el siguiente paso, debe crear uno o más "archivos de mapeo de productos" (utilizando una herramienta de Microsoft) y cargarlos a Winqual. Después de eso, los servidores Winqual verifican varios terabytes de la base de datos de fallos en todos los archivos de mapas y le proporcionan una lista de "eventos". (La firma que usaste para firmar el código es, por lo tanto, bastante irrelevante).

  3. No hay ninguna razón técnica por la que Microsoft no pueda aceptar otras Autoridades de Certificación también. Pero, ¿cómo se beneficiarían de hacerlo? También hay un programa de oferta especial para obtener un certificado de firma de código de VeriSign por un año por solo $ 99, y si lo compara con el costo de una cadena de herramientas de desarrollo o una membresía de MSDN / TechNet, no es precisamente caro.

  4. En nuestro caso, obtener el certificado de VeriSign fue sencillo y muy rápido, todo el proceso se completó en dos días. (No estamos en los EE. UU., Por lo que esperaba demoras). [Solo para aclarar: usted mismo genera su firma, y ​​consiste en una clave_privada_empresa (utilizada para firmar) y una clave_public_empresa (para verificar la firma del código). Cualquier Autoridad de Certificación (como VeriSign) simplemente contrata la firma de su empresa_public_key con su clave privada. Esto hace que su certificado sea verificable.]

  5. No sabíamos que el certificado VeriSign de $ 99 también podría usarse para la firma de código (no es solo una identificación organizativa). Así que inicialmente fuimos por otra CA para la firma de código. Luego obtuvimos un certificado de VeriSign para el registro de Winqual.

  6. Microsoft publica en WHDC y Winqual la información de qué proveedores de firmas se aceptan para qué tipo de firma. Realmente no puedes culparlos por ti mismo por no leer esto antes de obtener un certificado de otra CA, ¿verdad?

Espero que esto pueda ayudar a arrojar algo de luz.

El problema en realidad va más allá.

Para preservar un estado especial, una recertificación de uno de nuestros productos tenía que suceder. Por supuesto que solo se puede hacer a través de VeriTest. Para ahorrar dinero y poder responder a los problemas antes de que los noten, decidimos elegir la opción de autoprueba que nos permite probar nuestro software con las llamadas herramientas "Funciona con" de Microsoft.

Si bien la documentación indica que debe tener todos los códigos binarios firmados con un certificado de autenticodo para aprobar la verificación para Windows Server 2008 R2, nadie menciona que esto es realmente opcional y no tendrá un impacto en los resultados de la prueba (hasta que esté realmente en la página del informe que dice que este paso es opcional y no tendrá un impacto en los resultados de la prueba).

Sin embargo, hasta entonces ya compramos un certificado Comodo, ya que era solo una cuarta parte del precio de un certificado VeriSign y hace lo mismo de todos modos.

Poco después de una recertificación exitosa, recibimos un aviso sobre el evento de lanzamiento virtual actual de Microsoft y la posibilidad de ser parte de él (lo cual es una gran cosa). Sin embargo, para registrarnos debemos ingresar a WinQual y adivinar qué ... para eso, por supuesto, necesitamos un certificado de la compañía VeriSign WinQual (al menos).

Lo que es realmente divertido ahora es que durante al menos dos días, el sitio web de VeriSign correspondiente no estuvo disponible. Por otros tres días ahora, no es posible obtener un certificado de este tipo y hasta ahora ni siquiera respondieron a las solicitudes de soporte.

¿No sería fantástico si alguna otra compañía comenzara a alojar una plataforma similar a WinQual, excepto que efectivamente acepte certificados de TODOS los editores serios?

Joel ... Jeff, ... vamos. Eso es algo para ti:

"[...] exhandler.com es como winqual, ... pero sin el mal".

La misma historia aquí, estoy certificando la solicitud del logotipo de Win7 para obtener los puntos para el programa MS Partnership. Compré el certificado de firma de código Comodo. La solicitud pasó la prueba y ahora estoy tratando de configurar una cuenta de Winqual y, luego de enojarme inicialmente por tener que comprar otro certificado de firma, tuve una demora de 5 días al intentar comprar este "Certificado Organizacional" por $ 99. De ninguna manera, "La inscripción del certificado SSL de VeriSign no está disponible temporalmente. Inténtelo de nuevo más tarde ", y el soporte podría ser el peor que haya encontrado. Dios mío ... trate al menos de leer la descripción del problema o incluso de reproducir los pasos, no me ofrezca una solución estúpida para otro problema. O simplemente diga que el servicio no está disponible, estará disponible en 5 días. Muy frustrante ...

Solo una actualización si alguien tiene el mismo problema, finalmente obtuve la respuesta al problema de inscripción y realicé el pedido. (Supongo que necesitas conseguir al chico adecuado en soporte técnico :)

"Nuestras más sinceras disculpas. Este error se produce debido a un error en la inscripción del Certificado Organizacional. Este error se producirá si cualquier país que no sea los Estados Unidos se ingresa en la sección" Información del Certificado "(tercer paso) de la inscripción. Esto se ha incrementado. a los ingenieros que están trabajando para solucionarlo. Mientras tanto, puede hacer lo siguiente para superar el error y completar su inscripción: En la parte de la inscripción "Información del certificado", ingrese el país como "EE. UU." y el estado como "California". Toda la demás información puede ser correcta. Una vez que se haya completado la inscripción, adelante, envíenos el número de pedido de su certificado, así como los valores de país y estado correctos para su compañía en respuesta a este correo electrónico. ordene en nuestro sistema e ingrese los valores correctos de compañía y país antes de que emitamos el certificado. El certificado que le emitimos contendrá la información correcta ".

Tuvimos este mismo problema. No aceptarían un certificado de firma de código Comodo. Con toda probabilidad, es para aumentar los ingresos de su grupo (VeriSign / VeriTest que son propiedad de MS). No creo que no hayan tenido toneladas de solicitudes para utilizar certificados que no sean de VeriSign. Sin embargo, ¿qué opción tienes ...?