ฉันมีใบรับรองการเซ็นชื่อรหัสจากStartCom (StartSSL) ฉันพอใจกับบริการของพวกเขามาก: การบริการลูกค้าของพวกเขารวดเร็วมากและราคาสมเหตุสมผลมาก
รับใบรับรองการลงนามรหัส
ได้รับใบรับรองการเซ็นชื่อโค้ดต้องClass 2 เอกลักษณ์ของการตรวจสอบ StartCom แนะนำคุณตลอดกระบวนการ (ด้วยอัตราการตอบสนองที่ดีเยี่ยมโดยปกติจะใช้เวลาไม่เกินสิบนาทีจากประสบการณ์ของฉัน)
หากคุณต้องการรับรายละเอียดทันทีโปรดอ่านโพสต์บล็อกนี้ ฉันได้รับการตรวจสอบภายในหนึ่งชั่วโมง (โดยมีค่าธรรมเนียม 59.90 $ ผ่าน Paypal)
หลังจากผ่านการตรวจสอบแล้วให้สร้างคีย์ส่วนตัวใหม่และ Certificate Signing Request (CSR) โปรดทราบว่าทุกสาขายกเว้นคีย์สาธารณะจะถูกละเว้น ข้อมูลทั้งหมดในใบรับรองจะสรุปจากข้อมูลที่คุณให้ระหว่างการตรวจสอบตัวตนที่ไม่ได้มาจากความรับผิดชอบต่อสังคมของคุณ
ส่งสิ่งนี้ผ่านทางเว็บอินเทอร์เฟซและคุณจะได้รับใบรับรองใหม่ที่มีอายุสองปีอย่างรวดเร็ว (ฉันได้ของฉันภายในหนึ่งชั่วโมง)
ปัญหา: อายุการใช้งานการลงนาม OID
ใบรับรองคลาส 2 ของ StartCom มีชุด OID การเซ็นชื่อตลอดอายุการใช้งาน เนื่องจากบิตนี้ลายเซ็นของรหัสที่ลงนามจะไม่ถูกต้องหลังจากใบรับรองหมดอายุแม้ว่าจะมีการประทับเวลาก็ตาม
เมื่อฉันถาม Eddy Nigg (COO / CTO ของ StartCom) ถึงเหตุผลของ OID นี้เขาตอบว่า:
เรากำหนดให้ CRL ใช้งานได้ถึง 20 ปีหลังจากใบรับรองหมดอายุแล้ว นี่เป็นสิ่งที่เราสามารถทำได้สำหรับใบรับรองระดับ EV (ปริมาณที่น้อยกว่ามากเงื่อนไขการชำระเงินที่แตกต่างกัน) แต่จะเพิ่มราคาสำหรับคลาส 2 เพียงเพื่อประโยชน์นี้ (ซึ่งการเซ็นรหัสเป็นเพียงส่วนหนึ่งของตัวเลือกในระดับนี้)
ดังนั้นการประทับเวลาจึงใช้ได้เฉพาะหลังจาก Extended Validation (EV) ซึ่งมีให้เฉพาะองค์กรที่จัดตั้งขึ้นตามกฎหมายเท่านั้นและมีราคา 199.90 $ ดังนั้นนักพัฒนาบุคคลไม่สามารถใช้ Timestamping มีการลงนามในใบรับรองโค้ดจาก Startcom
เป็นเวลานานฉันถือว่าข้อ จำกัด นี้เป็นเรื่องใหญ่ เมื่อเร็ว ๆ นี้ฉันเปลี่ยนใจ: จะเกิดขึ้นทุกๆสองปีเท่านั้นผู้ใช้ที่คำนึงถึงความปลอดภัยอาจมีแนวโน้มที่จะรับซอฟต์แวร์เวอร์ชันล่าสุดของฉันมากขึ้นและซอฟต์แวร์เวอร์ชันเก่าจะยังใช้งานได้ (สำหรับผู้ที่ต้องการใช้งาน แม้ว่าจะไม่มีลายเซ็นที่ตรวจสอบแล้วก็ตาม)
หมายเหตุ: ประทับเวลารหัสของคุณเสมอแม้ว่าจะตั้งค่าสถานะการลงนามตลอดอายุการใช้งาน ! ลายเซ็นที่ประทับเวลาจะยังคงใช้ได้จนถึงวันหมดอายุของใบรับรองแม้ว่าใบรับรองจะถูกเพิกถอนแล้วก็ตาม (เห็นได้ชัดว่าลายเซ็นถูกสร้างขึ้นก่อนที่ใบรับรองจะถูกเพิกถอนเท่านั้น)
การใช้ใบรับรองในทางปฏิบัติ
ที่ StartCom คุณจ่ายเฉพาะการตรวจสอบความถูกต้อง การตรวจสอบตัวตนมีอายุ 350 วันและในช่วงเวลานี้คุณสามารถขอใบรับรองการเซ็นรหัสได้ฟรี คุณสามารถมีใบรับรองการเซ็นชื่อรหัสที่ถูกต้องได้เพียงใบเดียวและสามารถใช้เพื่อลงนามในรหัสใดก็ได้ (MSI, DLL, XPI, ... ) แต่ไม่ใช่รหัสไดรเวอร์ (ต้องใช้ EV)
ในการเปลี่ยนแอตทริบิวต์ในใบรับรองใบรับรองก่อนหน้านี้จะต้องถูกเพิกถอนใบรับรองใหม่ที่ร้องขอ การเพิกถอนใบรับรองมีค่าใช้จ่าย 29.90 $ แม้ว่าฉันจะเปลี่ยนอีเมลหนึ่งวันหลังจากได้รับใบรับรองการเซ็นรหัส แต่พวกเขาก็เพิกถอนใบรับรองของฉันโดยไม่มีค่าธรรมเนียมเป็นพิเศษ (ฉันรู้สึกประหลาดใจในเชิงบวก)!
หมดอายุ
เมื่อใบรับรองของคุณกำลังจะหมดอายุ (หลังจากผ่านไปเกือบสองปี) คุณจะได้รับการแจ้งเตือน (ล่วงหน้าสองสัปดาห์) หากข้อมูลประจำตัวที่ได้รับการยืนยันของคุณยังคงใช้ได้ (โปรดจำไว้ว่าการตรวจสอบจะหมดอายุหลังจาก 350 วันคุณต้องยืนยันตัวตนของคุณอีกครั้งในราคา 59.90 $) คุณสามารถขอใบรับรองใหม่ได้โดยไม่ต้องเพิกถอนใบก่อนหน้า อย่าลืมเผยแพร่ซอฟต์แวร์รุ่นใหม่ที่ลงนามด้วยใบรับรองการลงนามรหัสใหม่นี้เนื่องจากรุ่นก่อนหน้านี้จะแสดงข้อความ "(ไม่ได้รับการยืนยัน)" หรือสิ่งที่คล้ายกัน
OCSP
เมื่อฉันได้รับใบรับรองฉันได้ลงนามส่วนเสริม Firefox ของฉัน อย่างไรก็ตามยังคงแสดงข้อความ "(Author not Verified)" แม้ว่าไฟล์ XPI ของฉันจะได้รับการลงชื่ออย่างถูกต้อง ปรากฎว่า Firefox ไม่ได้รับสถานะใบรับรองปัจจุบันเมื่อสอบถามเซิร์ฟเวอร์ OCSP ของ StartCom สำหรับสถานะการเพิกถอนใบรับรองใหม่ของฉัน หัวข้อฟอรัมที่อาจเกี่ยวข้อง
หลังจากผ่านไปประมาณครึ่งวันใบรับรองของฉันก็เป็นที่รู้จักในเซิร์ฟเวอร์ OCSP และชื่อของฉันก็ปรากฏขึ้นตามที่คาดไว้ บทเรียนที่เรียนรู้: เมื่อคุณได้ใบรับรองใหม่แล้วให้รอประมาณหนึ่งวันก่อนที่จะเผยแพร่ซอฟต์แวร์ของคุณพร้อมลายเซ็นใหม่