Chez oim, forum libre
Débattre => Informatique, programmation, geek attitude... => Discussion démarrée par: Otomatic le samedi 04 décembre 2021, 17:02
-
Bonjour,
Je commence à m’intéresser à signer Wampserver, les installeurs et les addons, mais quand je vois le prix des certificats…
Y'aurait pas un « truc » comme Let's Encrypt ? ou un pas cher !
Merci
-
Bonjour,
Je commence à m’intéresser à signer Wampserver, les installeurs et les addons, mais quand je vois le prix des certificats…
Y'aurait pas un « truc » comme Let's Encrypt ? ou un pas cher !
Merci
Bonsoir, Oto !
Effectivement, ce n'est pas donné !
Ne te prends pas la tête, tu fais déjà du bon boulot, et cela rend bien service aux utilisateurs de Wampserver.
Garde ton argent pour de bonnes sorties, enfin, quand cela sera possible.
Cordialement.
Jean-Claude
-
Salut,
Malheureusement, il n'existe pas à ma connaissance de certificats de signature de code gratuits et ça coûte la peau du cul en plus !
Je ne sais pas si les vendeurs de certificats se sont rabattus sur les produits que Lets Encrypt ne prend pas en charge, mais leurs prix sont hallucinants...
Désolé Oto, sur ce coup tu vas être obligé de continuer sans signature de ton code, ou alors en sortant un gros chèque...
Sinon tu as PGP, mais la signature sera dans un fichier séparé, comme on le voit souvent avec des softs open sources Linux ou pas. Il y a le fichier à télécharger et un second fichier contenant la signature PGP du premier.
Tu as vu des sites proposer Wamp en version vérolée ou c'est juste par prévention que tu veux signer tout ça ?
-
Bonsoir,
Je vais certainement utiliser les codes de signature pour Aestan puisque j'en ai l'occasion. C'est juste pour éviter les modifications intempestives en vérifiant l'intégrité du programme.
Nous on utilise ceci : https://www.certum.eu/en/code-signing-certificates/
:)
-
Bonjour,
Les exécutables Inno Setup peuvent être « dépaquetés » par Inno Setup Unpacker puis, après avoir effectué quelques petites modifications, « repaquetés » par Inno Setup.
Il y a déjà eu quelques cas de téléchargement des installeurs Wampserver depuis des sites “non-officiels” avec, en prime, quelque truc pas très catholique !
Si Aestan Tray Menu est signé, non seulement ça limitera beaucoup la casse, mais, en plus, ça évitera que Microsoft/Windows crie "au charron" lors des lancements de Wampserver.
Néanmoins, je continue à chercher comment signer les installeurs « pour pas cher ».
-
Tu es prêt à mettre combien, Oto, pour un "Certificate Code Signing" (CCS) ?
Je peux faire des recherches de mon côté.
C'est vrai qu'avec un soft aussi réputé que Wamp, il faut s'attendre à toutes les saloperies... >:(
-
Bonjour,
Grosso-modo 5€ par mois, soit 60 € pour l'année. Mais pour ce prix, je voudrais un certificat « étendu », pas simplement une signature ; c'est à dire le certificat qui ne fait rien couiner dans Windows, même pas SmartScreen.
J'ai bien vu des certificats à 59 € l'an, mais faut en prendre pour trois ans et ce sont des certificats simples.
Tient, pendant que l'on est sur ce sujet, cela nécessite signtool.exe de Microsoft qui n'est disponible qu'avec l'installation du SDK alors…
Un truc pour n'installer que signtool.exe et ses dépendances sans être obligé d'installer les 4 Gio et plus du SDK Microsoft.
1 - Télécharger l'ISO depuis https://developer.microsoft.com/en-us/windows/downloads/windows-10-sdk
2 - Déballer (Ouvrir) l'ISO avec un outil comme 7zip
3 - Copier les fichiers suivants dans un dossier (temporaire) :
4c3ef4b2b1dc72149f979f4243d2accf.cab
685f3d4691f444bc382762d603a99afc.cab
e5c4b31ff9997ac5603f4f28cd7df602.cab
e98fa5eb5fee6ce17a7a69d585870b7c.cab
Windows SDK Signing Tools-x86_en-us.msi
4 - Exécuter Windows SDK Signing Tools-x86_en-us.msi
L'outil signing tool se trouve alors dans :
c:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe
le x64 est à remplacer par x86, arm ou arm64 selon les versions à utiliser.
Pour info, le dossier Windows Kits ne pèse alors que 7 Mio, le programme signtool.exe ne faisant que 448 kio.
-
Bonjour,
Je ne sais pas si c'est le même mais moi j'utilise celui-ci :http://www.briggsoft.com/signgui.htm
Des certificats EV pour pas cher là j'en ai jamais vu en plus il faut une déclaration d'entreprise.
:)
-
Des certificats EV pour pas cher là j'en ai jamais vu en plus il faut une déclaration d'entreprise.
Malheureusement, le seul « truc » possible, c'est The Open Source Code Signing certificate et, en plus tous les “certificateurs” ne le font pas, c'est le seul pour une personne physique. Les certificats EV, ce n'est que pour les personnes morales, avec un nom d'entreprise dûment déposé et ça coûte un deux bras.
http://www.briggsoft.com/signgui.htm
« SignGUI is a free graphical front end for Microsoft's SignTool.exe » il faut donc signtool.exe du SDK Microsoft.
Inno Setup intègre un outil pour automatiquement signer l'installateur lors de la compilation.
-
Des certificats EV pour pas cher là j'en ai jamais vu en plus il faut une déclaration d'entreprise.
Malheureusement, le seul « truc » possible, c'est The Open Source Code Signing certificate et, en plus tous les “certificateurs” ne le font pas, c'est le seul pour une personne physique. Les certificats EV, ce n'est que pour les personnes morales, avec un nom d'entreprise dûment déposé et ça coûte un deux bras.
http://www.briggsoft.com/signgui.htm
« SignGUI is a free graphical front end for Microsoft's SignTool.exe » il faut donc signtool.exe du SDK Microsoft.
Inno Setup intègre un outil pour automatiquement signer l'installateur lors de la compilation.
Bonsoir, Oto ! :ik:
J’ai voulu suivre les échanges, je me suis même rendu sur le site de Microsoft ! :kl:
Un quart d’heure après j’avais mal à la tête ! :(
Il y a quand même du bon d’être utilisateur final. :jw:
Si tu persistes, bon courage. :if:
Cordialement,
-
Je dis ça, je dis rien.
Et si Alain donnait son certificat et la clé qui va bien avec à Oto, ça serait gênant pour quelqu'un ? O:-)
:-[
-
Je ne suis pas très partisan de ce genre de pratiques.
Avec Aestan Tray Menu signé, ça sera déjà une bonne chose.
Je continue à creuser !
-
Pourquoi pas ?
Faut pas que ça devienne la fête du slip en divulguant la clé à tout le monde, c'est tout. Juste pour toi :iq:
Sinon je vais chercher. ;)
-
J'ai trouvé quelques certificats, mais si il est une chose de certaine, c'est que tu n'auras jamais de certificat EV à quelques dizaines d'euros.
Déjà pour les certificats SSL "domaine", le EV coûte la peau des couilles !
Ce type de certificat réclame des preuves qui ne peuvent vérifiées qu'à la main et pas par une machine (identité, entreprise, association, etc...).
Du coup, les prix sont dingues, plusieurs centaines d'euros.
La seule solution est un certificat DV, comme le fait Lets Encrypt tous les jours (DV = Domain Validation).
Quoi que, je ne sais même pas comment marchent les "certificats simples" pour signer du code. C'est pas des certificats destinés à être installés sur un serveur...
Peut-être juste à vérifier le certificat du domaine qui aura apposé la signature ? Je pense plus que c'est ça.
Bref !
Quoi qu'il en soit, avec Visual Studio, il est possible de générer un certificat pour signer son package. Je ne peux pas dire si c'est de l'auto signé ou du gratuit fourni par Microsoft pour faire la pub de Visual Studio.
Voici l'adresse : https://docs.microsoft.com/fr-fr/windows/msix/package/create-certificate-package-signing (https://docs.microsoft.com/fr-fr/windows/msix/package/create-certificate-package-signing)
Si ça ne convient pas, tu le dis, hein ? Je chercherai ailleurs. ;)
-
Bonsoir,
C'est des certificats pour entreprise interne auto-signé.
Cela permet aux entreprises de voir si les applis utilisées sont bien validées par l'entreprise.
Sinon pour le simple mortel le certificat "Open Source Developer" est le plus approprié mais n'a pas la mention EV.
Les EV sont interdits aux simples mortels et réservé aux entreprises.
:)
-
Bonsoir,
C'est des certificats pour entreprise interne auto-signé.
Cela permet aux entreprises de voir si les applis utilisées sont bien validées par l'entreprise.
Sinon pour le simple mortel le certificat "Open Source Developer" est le plus approprié mais n'a pas la mention EV.
Les EV sont interdits aux simples mortels et réservé aux entreprises.
:)
Bonjour, Max !
Voilà, cela a le mérite d’être très clair !
Bien que tu l'aies déjà précisé dans un précédent post.
Cordialement.
JC
-
Le EV, il faut oublier si on veut faire des économies. C'est beaucoup trop cher.
Sinon, le EV peut être délivré à une personne physique, il faut juste qu'elle justifie de son identité, c'est tout. C'est pas que pour les entreprises (personnes morales).
Et Oto, il en pense quoi ? Il faut que je cherche ailleurs ou ça peut faire l'affaire ?
-
Sinon, le EV peut être délivré à une personne physique, il faut juste qu'elle justifie de son identité, c'est tout. C'est pas que pour les entreprises (personnes morales).
Bonsoir,
Alors donne moi une instance qui le permette car là je suis intéressé.
:)
-
Bonsoir,
Je vais m'orienter vers l'Open Source Développer.
-
Je vais regarder ça Oto.
Et Alain aussi !
;)
-
Désolé, je vous avais "un peu" oublié. :-[
Voilà un site qui permet d'obtenir des certificats de code EV pour des personnes physiques en plus des entreprises.
https://www.ssl.com/fr/certificats/signature-de-code-ev/ (https://www.ssl.com/fr/certificats/signature-de-code-ev/)
Par contre, ça coûte la peau du cul ! :roh:
Il ne faut pas faire attention aux 249$ annoncés sur la première page, au final ça ne coûte "que" 129$ (à peu près 100€).
Il est possible d’accélérer la validation en payant la modique somme d'un peu plus de 400$......
-
Bonjour,
Merci pour l'info je vais analyser cela avec intérêt :)
-
Reviens pour un feedback. ;)
-
Voilà un site qui permet d'obtenir des certificats de code EV pour des personnes physiques en plus des entreprises.
https://www.ssl.com/fr/certificats/signature-de-code-ev/
Bonjour,
Pour les particuliers c'est un code IV les autres sont réservés aux entreprises.
Donc moi j'ai repris un code IV chez eux et le suivi est exemplaire pour l'attribution et la validation.
:)
-
Bonjour,
Merci du retour.
Je vais aller voir ça pour les installeurs Inno Setup.
:)
-
Et ça marche comment la validation ? C'est long ?
-
Bonsoir,
Tu dois créer un compte pour commencer.
Puis tu payes selon ce que tu veux.
Puis tu envoies tes documents pour la validation via le site crypté.
Pour la validation tu dois prouver ton identité en envoyant plusieurs documents et prouver un numéro de Gsm pour vérification.
Il faudra compter une semaine pour avoir la validation.
Quand c'est fait tu as un lien pour générer tes clés via ton compte.
Je conseille de désactiver les antivirus pour faire cette opération car moi j'ai eu un problème de ce genre mais vu la réactivité du support technique cela a été résolu immédiatement.
Clé P12 ou dérivées avec Algo elliptique ECDSA ou RSA.
Si on veut crypter et authentifier le courrier en plus de la signature il faut un mode RSA l'autre n'est pas prévu à cet effet.
Signature de code avec Horodatage et informations diverses.
Une chose à savoir ils se trouvent à Houston donc attention au décalage horaire pour communiquer avec eux.
Voilà en gros les infos tout se trouve sur leur site.
-
Oh ben ça va, une semaine c'est rapide. :)
-
Bonjour,
C'est « en cours ». Y'a plus qu'à attendre :ik:
-
Ah ben voilà. :)
-
Bonjour,
Alain, ensuite, tu as utilisé signtool.exe* ou autre "chose" pour signer les exécutables ?
*c:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe
-
Bonjour,
Alain, ensuite, tu as utilisé signtool.exe* ou autre "chose" pour signer les exécutables ?
*c:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe
Bonjour,
Quand le kit signtool est installé j'utilise ceci : http://www.briggsoft.com/signgui.htm.
:)
-
Bonjour,
Il y a aussi EZsignit : http://www.ssesetup.com/ezsignit.html
N'a pas besoin de signtool.exe de Microsoft.
Très pratique pour les signatures en nombre.
Car… ça y est :P j'ai signé tous les addons Apache et PHP et les installeurs "full version" qui sont sur https://wampserver.aviatechno.net.
Le restant va bientôt y passer.
Pour moi aussi, le certificat vient de https://www.ssl.com/
-
Ah ça y est, tu t'y mets ! :if:
C'est vrai que ton utilitaire est plus pratique que l'autre. Ca permet de signer des exécutables déjà compilés, par paquets, ce qui n'est pas négligeable. :)