Podepisování aplikačního kódu

[popelar]

Dobrý den,

plánuji publikovat svoji aplikaci na Windows Storu a k tomu je potřeba mít msix bundle podepsaný certifikátem. Ten lze za nemalé prostředky získat od zahraničních autorit typu Digicert. Napadlo mě ale, že jelikož máme v Česku poměrně vyspělé služby týkající se identit typu mojeID, bankovní identita, atd. Zda není možné využít některou z těchto služeb k prokázání identity a navazujícímu vystavení certifikátu, který by bylo možné využít pro takové podepisování kódu.

Víte někdo o takových možnostech? Resp. jaká je nejlevnější cesta k možnosti publikovat na Windows Storu a podobných? Kterou službu si platíte vy?


Díky

[Reklama]

[popelar]

EDIT:

V rámci Androidu vystavuje Google svoje certifikáty prostřednictvím Android Studio.
V rámci Iphone    vystavuje Apple   svoje certifikáty prostřednictvím Xcode.

Nenašel jsem ale ekvivalent pro Microsoft Windows v rámci Visual Studio. Možná jsem to jen nenašel? Může mě někdo nasměrovat?

[Lukinno]

Nejsem si vědom autority, která by u nás vydávala uznávaný Code Signing certifikát. Certifikáty, které jsou vydávané obdobnými certifikačními autoritami jako PostSignum / I.CA jsou nanejvýš důvěryhodné v EU. V tomto případě potřebuješ certifikát, který je platný a uznávaný mezinárodně i mimo EU, takový ti ale naše certifikační autority nevydají.

Jak jsi zmiňoval, cesta vede skrze Digicert/Sectigo či obdobnou důvěryhodnou CA. Jelikož budeš aplikaci publikovat skrze Microsoft store, nepotřebuješ EV - postačí ti OV/IV

[Filip Jirsák]

Ty služby elektronické identifikace zajišťují identitu z pohledu práva v EU. Nevím o žádné certifikační autoritě, která by s touto identitou pracovala mimo legislativní prostor EU. Uznávané certifikační autority mají svoje postupy, jak identitu ověřovat, které jsou zpravidla podstatně starší, než eIDAS. I kdyby nějaká autorita uměla použít eIDAS identitu, pravděpodobně kvůli tomu ten certifikát nezlevní. Tj. je potřeba některá důvěryhodná CA poskytující Code signing certifikáty. Jsou i přeprodejci v ČR, třeba SSL Market od Zoneru. SSLmentor nabízí nejlevnější code signing certifikát hodně levně  –ale nemám s nimi žádnou zkušenost, jen to na mne teď vypadlo z Google.

[popelar]

Díky za informace. Půjdu cestou ssl mentora, a toho jejich Certum poskytovatele. Je to pro mě nová oblast a doufal jsem, že to bude podobné jako s webem - lets encrypt.. No, nedá se nic dělat a budu pěkně cálovat

[Reklama]

[Filip Jirsák]

DNS certifikáty se dají zautomatizovat, stačí nějak prokázat držení domény – záznamem v DNS, vystavením souboru na webu na dané doméně, třeba i reakcí na e-mail zaslaný na danou doménu.

Code signing certifikáty ale ověřují osobu nebo firmu, tam zatím žádná automatizace udělat nejde. A když to nemůže být automatizované, nedá se to udělat tak levně, aby to utáhli jen sponzoři, jako v případě Let's Encrypt.

[Ivan Brezina]

Pouzival jsem na podepisovani .msi baliku/.dll klic od CERTUM CA.
Bylo to podobny jako u Revolut, oskanujes Obcanu, ridicak. Oni ti to schvali, ty zaplatis a oni ti poslou certifikat.

Oni pak ale utahli srouby a dali si podminku, ze ke klici je potreba koupit i jejich HW klic a to uz na me bylo drahy.
Navic pulka stranek byla jen v polstine nejak jsem se na tom jejich webu ztratil.

[RDa]

EDIT:

V rámci Androidu vystavuje Google svoje certifikáty prostřednictvím Android Studio.
V rámci Iphone    vystavuje Apple   svoje certifikáty prostřednictvím Xcode.

Nenašel jsem ale ekvivalent pro Microsoft Windows v rámci Visual Studio. Možná jsem to jen nenašel? Může mě někdo nasměrovat?

Mame aplikaci ve Windows Storu (i v App Store na applu) a podpisuje se to nejak samo oboji.
Duvera je implicitni tim, ze to pochazi ze store (a nejspis tohle bude reflektovano i v certifikacnim retezci).

To podepisovani placenym certifikatem je potreba jen pro aplikace a drivery ktere jdou mimo Store, protoze pri individualni distribuci tam neni ona duvera.

[ZAJDAN]

https://www.sslmarket.cz/novinka/code-signing-certifikaty-povinne-na-tokenu/

[Filip Jirsák]

Oni pak ale utahli srouby a dali si podminku, ze ke klici je potreba koupit i jejich HW klic a to uz na me bylo drahy.

Není to náhodou už podmínka Microsoftu pro všechny code signing certifikáty, že privátní klíč musí být neexportovatelný a uložený na certifikovaném zařízení? Mám pocit, že na tokeny nebo čipové karty pro code signing certifikáty přecházely všechny certifikační autority.

[Tomas-T]

Asi to bude pravda, nám už teď nově taky code signing certifikát firma neposlala jako soubor, ale jen jako odkaz na Azure Key Vault.

[Zdeno Sekerák]

Asi to nieje co hladas ale MS ma moznost nechat overit SW tu https://www.microsoft.com/en-us/wdsi/filesubmission
a potom uz windows povazuju tvoju app za doverihodnu. Takze ak si ju zakaznik stiahne do PC uz to nevaruje ze je nedoverihodna a povoli instalaciu.

[RDa]

Takze jak jsem psal vejs - appky v MS Store podepisuje sam Microsoft

https://stackoverflow.com/questions/62454285/can-i-code-sign-a-windows-store-app-with-a-trusted-code-signing-certificate

@popelar - proc vubec hledas jak neco podpisovat?

Tvoris to v necem jinem nez visual studiu, ktere ti primo vygeneruje  package ktery dropnes do webove spravy aplikaci v ms store?