2016年更新:StartCom已被WoSign收购在质疑的情况下。我不会信任StartCom/WoSign。请将以下文本视为关于StartCom 曾经直到2015年初表现如何的历史记录。
我从
StartCom(StartSSL)获得了代码签名证书。我非常满意他们的服务:客户服务非常快速,价格也非常合理。
获取代码签名证书需要
Class 2 Identity Validation。 StartCom将引导您完成整个过程(在我的经验中,响应速度非常快,通常在十分钟内)。
如果您想一次性正确地获取详细信息,请阅读
此博客文章。 我在一个小时内通过验证(通过Paypal支付59.90美元的费用)。
验证后,生成新的私钥和证书签名请求(CSR)。请注意,
除公钥外,所有字段都被忽略。 证书中的所有信息
均来自于您在身份验证期间提供的信息,而不是来自于您的CSR。
openssl req -nodes -newkey rsa:2048 -keyout codesigning.key -out codesigning.csr
openssl rsa -in codesigning.key -des3 -out codesigning2.key && \
mv codesigning2.key codesigning.key
通过网页界面提交申请,您将很快获得一张有效期为两年的新证书(我在一小时内获得了我的证书)。
问题:终身签名OID
StartCom的2级证书设置了终身签名OID。由于这个位,签名代码的签名将在证书过期后失效,即使它有时间戳也是如此。
当我询问StartCom的COO/CTO Eddy Nigg关于这个OID的原因时,他回答:
这要求我们在证书过期后保持CRL运行长达20年。这对于EV级别的证书来说是可以做到的(更低的数量,不同的付款条件),但会因此增加Class 2的价格(其中代码签名只是该级别选项中的一部分)。
因此,时间戳仅在扩展验证(EV)之后提供,而只有合法成立的组织才能获得,并且需要支付199.90美元。因此,个人开发者无法使用StartCom的代码签名证书进行时间戳。
很长一段时间,我认为这个限制是一个大问题。最近,我改变了我的想法:这只会发生一次,每两年一次,注重安全的用户可能更倾向于获取我的软件的最新版本,旧版本的软件仍将工作(对于那些想要使用它的人;尽管没有经过验证的签名)。
注意:即使设置了终身签名标志,请始终为您的代码添加时间戳!带有时间戳的签名将保持有效,直到证书的到期日期,即使证书已被吊销(显然,前提是在证书被吊销之前创建了该签名)。
证书的实际用途
在StartCom,您只需要支付验证费用。身份验证有效期为350天,在此期间,您可以免费请求代码签名证书。您只能拥有一个有效的代码签名证书,并且可以用于签署任何代码(MSI、DLL、XPI等),但不能用于驱动程序代码(这需要EV)。
要更改证书上的属性,必须吊销先前的证书并请求新证书。吊销证书的费用为29.90美元。不过,当我在获得代码签名证书后的第二天更改了我的电子邮件时,他们特别免费吊销了我的证书(我感到非常惊喜)!
到期
当您的证书即将过期(近两年后),您将收到通知(提前两周)。
如果您的已验证身份仍然有效(请记住,验证在350天后过期;然后您必须再次确认您的身份,费用为59.90美元),则可以无需吊销先前的证书请求新证书。不要忘记发布使用此新代码签名证书签名的软件的新版本,因为以前的版本很快将显示“(未经验证)”或类似的内容。
OCSP
当我收到我的证书时,我签署了我的Firefox插件。但是,它仍然显示“(作者未经验证)”,尽管我的XPI文件已正确签名。原来Firefox在查询StartCom的OCSP服务器以获取我的新证书的吊销状态时没有获得当前的证书状态。可能相关的论坛主题
