29

2015年1月24日現在の編集:現在、他の信頼できる認証局を使用することはできません。質問と回答は時代遅れではありません:

WinQualは引き続き署名を拒否します。

ここに画像の説明を入力してください

有効なデジタル署名であることをすでに確認している場合:

ここに画像の説明を入力してください

完全を期すために、他の誰かが行った編集を以下に残します。彼がどれほど間違っていたかを指摘するだけです。そして彼はその恥をもって生きることができます:

2014年現在の編集:他の信頼できる認証局を使用できるようになりました。質問と回答は廃止されました。

2005年に、MicrosoftでWinQualアカウントを確立しようとしたので、Windowsエラー報告(WER)を介して自動的に送信されたクラッシュダンプファイル(存在する場合)を取得できました。Verisign証明書を持っていないため、クラッシュダンプを取得できませんでした。代わりに、Verisignの子会社であるThawteによって生成された安価なものがあります。

参加する方法は次のとおりです。提供されているサンプルexeにデジタル署名します。これは、あなたが実際にクラッシュダンプを取得したアプリに署名したのと同じ署名者であることを証明しています。

暗号的には、実行可能ファイルにデジタル署名を生成するために秘密鍵が必要です。その秘密鍵の所有者のみが、一致する公開鍵の署名を作成できます。誰がその秘密鍵を生成したかは関係ありません。これには、以下から生成される証明書が含まれます。

ただし、MicrosofのWinQualは、Verisignによって生成されたデジタル証明書のみを受け入れます。Verisignの子会社でさえ十分ではありません(Thawte)。

マイクロソフトがコード署名証明書を受け入れたくないという技術的、法的、または倫理的な理由を誰かが考えることができますか?WinQualサイトによると:

Winqualメンバーシップにデジタル証明書が必要なのはなぜですか?

デジタル証明書は、スタッフのメンバーになりすましたり、会社に対して詐欺行為を行ったりする個人から会社を保護するのに役立ちます。デジタル証明書を使用すると、ユーザーまたは組織のIDを証明できます。

どういうわけか、Thawteデジタル証明書は安全ではありませんか?

2年後、クラッシュダンプを取得できるようになるのを待っているというリマインダー通知をWinQualに送信しました。WinQualチームからの回答は次のとおりです。

こんにちは、

念押し有難う。これはまだリクエストであると適切な人に通知しました。

2008年に、マイクロソフトのサポートフォーラムでこの質問をしましたが、回答は次のとおりです。

現時点では、VeriSign証明書のみを受け入れるように設定されています。他の種類の証明書をサポートするという圧倒的な要求はありませんでした。

他の種類の証明書を受け入れるための「セットアップ」ではないということは、おそらくどういう意味ですか?

WinQual.exeテストアプリに署名したキーのフィンガープリントが、実際に取得したクラッシュダンプである実行可能ファイルに署名したフィンガープリントと同じである場合、それは証明されています-それらは私のクラッシュダンプです。それらを私に渡してください。

また、他のすべてのデジタル署名とは対照的に、Verisignデジタル署名が有効かどうかを確認するための特別なAPIがあるわけではありません。有効な署名は、誰がキーを生成したかに関係なく有効です。

Microsoftは署名者を信頼しないことは自由ですが、それはIDと同じではありません。

それが私の質問です。WinQualがデジタル署名をサポートするように設定されていない実際的な理由を誰かが考えることができますか?

ある人は、答えは彼らがただ怠惰であるということであると理論づけました:

私は知りませんが、winQualシステムを実行しているチームはライブチームであり、開発チームではないと思います。たとえば、既存のシステムのメンテナンスに向けた個性とスキルセットです。私は間違っているかもしれません。

彼らはそれを変えるために仕事をしたくありません。しかし、誰かが変更する必要がある何かを考えることができますか?キーを生成したものに関係なく、同じロジックです。「指紋が一致しますか」。

私は何が欠けていますか?

アップデート

他の開発者の話を聞くのはいいことです。このようにして、私は自分が一人ではないことを知っています。この質問は、マイクロソフト側の変化の手段として役立つ可能性があります。そして、私の当初の意図が不平を言う暴言であったとしても、これを有効なStackOverflowの質問に保つために、 MicrosoftがVerisign証明書しか受け入れられなかった技術的な理由を探しています。

暗号化APIは、証明書を発行した会社の名前を気にしません。署名者のチェーンが信頼できるルートに戻ることだけを気にします。

Microsoftが特に確立された暗号インフラストラクチャを使用しておらず、代わりにVerisignに限定されている場合、何が起こっている可能性がありますか?

プログラムマネージャーや開発者が理由を説明しているブログエントリを誰かが指摘できれば、おそらく満足するでしょう。

アップデート2

人々は私の質問の要点を見逃しているようです。Windowsには、デジタル署名証明書がルート機関によって信頼されていることを確認するためのコードインフラストラクチャがすでに備わっています。これは、署名された実行可能ファイルの1つにあるデジタル署名のスクリーンショットです。

私たちの証明書がThawteのコード署名局の証明書によって署名されていることがわかります。この証明書はThawteによって署名されています。

代替テキスト

また、「thawte」証明書はデフォルトでWindowsに付属しています。

代替テキスト

Thawte Premium Server CAは、WindowsとInternetExplorerのすべてのコピーがすでにそれを信頼しているほど十分に優れています。また、証明書が有効(つまり信頼できる)かどうかを確認するための確立されたAPIがすでにあります。

WinQualの人たちがやって来たとき、彼らは正しい方法をチェックすることを避けるために邪魔をしなければならなかったでしょう、そして代わりに彼ら自身の解決策を転がし、信頼できるルートとしてVerisignだけをハードコーディングしました。なぜ彼らは他の信頼できるルート機関、コードが実行されているWindowsマシンで出荷される機関を無視し代わりにVerisignをハードコーディングするのでしょうか。

他のすべての人(Windows Explorer、Firefox、Chrome、Internet Explorer、Opera、CertMgrなど)のように行うのではなく、特にVerisignのみを許可します。そして私の質問はその理由です。

Why would WER not accept code-signing certificates?

単純な場合:

  • 最初にそれを書いた人は彼の頭のてっぺんから適切な方法を知らなかったので
  • 適切な方法を調査するために多くの時間を費やすのではなく
  • 彼はただ一緒に何かを投げました
  • テストのために、彼は1人の署名者だけをハードコーディングしました
  • 後で戻って修正するという完全な意図を持って
  • しかし、コードは現在機能しています
  • そしてそれは修正されずにライブになりました
  • そして誰もそれを壊す責任を負いたくない
  • そして誰もそれを修正するためにお金を使いたくない
  • そして、それを優先度を高くするために十分な顧客が不満を言っていません
  • 多くの人が不満を言っていたとしても、Verisignを購入するのはたったの99ドルです。
  • それで、あなたはそれを手放してベリサインのものを買うことができないのですか?

...それは大丈夫だろう。私がそれを信じないことを除いて。本番環境に移行したのはテストコードだとは思いません。他の署名者を無視させたのは、意識的で具体的な決定であると私は感じます。そして、彼らはベリサインを尊重するだけであり、これからもそうし続けるでしょう。

しかし、私の人生のために、私は理由を考えることができません。

4

8 に答える 8

14

ええと、私は別のリクエストを投稿しました。基本的に、彼らが Comodo コード署名証明書を受け入れない限り参加しないということです。

Microsoft から連絡があり、Windows 7 に関するレポートがあるとの連絡がありましたが、Verisign を使用していないためサインインできません。わかりました、あなたから連絡がありました...あとどれくらい認証を受ける必要がありますか?

製品マネージャーに連絡しました。どうなるか見てみましょう。

上記の半修辞的な質問に答えるために-他の署名付きEXEを認証できない理由はありません。Windows がそれを行い、IE がそれを行い、コードは既にそこにあります。それをサポートするために特別なことをする必要はありません。

アップデート:

Microsoft の担当者と話した後、「検証」してバグ レポートを取得するには、最低でも 99 ドルの versign cert を購入する必要があるとはっきり言われました。ラメ。

于 2009-04-14T15:39:28.890 に答える
12

WinQualにサインアップしたばかりで、この質問を検討してきました。私は今答えがあると思います。

要するに:彼らはVeriSignを証明書としてまったく使用していません:彼らはあなたの身元を確認するタスクをアウトソーシングしているだけです。

Microsoftは、最初にIDを確認せずにWinQualサイトにアクセスすることを望んでいません。したがって、本人確認プロセスが必要です。

彼らはあなたに99ドルを請求し、検証を行う部門を持つことができます。しかし、彼らはすでにそれを行うことができるスタッフをすでに持っているベリサインに重要な保有物を持っています。したがって、彼らはあなたの身元を確認するために証明書にサインアップするプロセスを使用します。証明書はまったく使用されていません。VeriSignに確認のタスクを任せているだけです。

アカウントを維持するために引き続きVeriSign証明書を維持する必要はないことに注意してください。これは、サイトに参加するための1回限りの料金です。

これはMicrosoftがあなたの身元を確認するケースであり、彼らはそのパイに指を置いているのでVeriSignを信頼し、Comodoをあまり信頼していないため、他の証明書ではなく、この目的でVeriSignを使用することを望んでいます。開発者の観点からは少しばかげているように見えますが、開発者の観点からは理解できます。

于 2010-10-18T06:15:52.570 に答える
8

コード署名を行い、最近 Winqual にサインアップしたので、いくつかの説明を以下に示します。

  1. Winqual サインアップ (登録) の場合、署名自体は Winqual データベースに対してチェックされません。Winqual は、VeriSign がユーザーの身元を確認したことを証明する VeriSign からの証明書のみを確認します。次に、署名から会社名を取得します。

  2. 次のステップでは、(Microsoft のツールを使用して) 1 つ以上の「製品マッピング ファイル」を作成し、それらを Winqual にアップロードする必要があります。その後、Winqual サーバーはすべてのマップ ファイルに対して数テラバイトのクラッシュ データベースをチェックし、「イベント」のリストを提供します。(したがって、コード署名に使用した署名はまったく関係ありません。)

  3. Microsoft が他の認証機関も受け入れられなかった技術的な理由はありません。しかし、そうすることで彼らはどのように利益を得るでしょうか? また、VeriSign から 1 年間のコード署名証明書をわずか 99 ドルで取得できる特別オファー プログラムもあり、これを開発ツール チェーンや MSDN/TechNet メンバーシップのコストと比較すると、それほど高くはありません。

  4. 私たちの場合、VeriSign から証明書を取得するのは簡単で、非常に迅速でした。プロセス全体が 2 日以内に完了しました。(私たちは米国にいないので、遅延が予想されます。) [明確にするために: 署名は自分で生成します。これは、company_private_key (署名に使用) と company_public_key (コード署名の検証用) で構成されます)。認証局 (VeriSign など) は、秘密鍵で company_public_key に副署名するだけです。これにより、証明書が検証可能になります。]

  5. VeriSign $99 証明書がコード署名にも使用できることは知りませんでした (組織 ID だけではありません)。そのため、最初はコード署名用に別の CA を使用しました。次に、Winqual 登録用の VeriSign 証明書を取得しました。

  6. Microsoft は、WHDC および Winqual で、どの署名プロバイダーがどの種類の署名に対して受け入れられているかについての情報を公開しています。別の CA から証明書を取得する前にこれを読まなかったからといって、彼らを責めることはできませんね。

これが光を当てるのに役立つことを願っています。

于 2010-08-09T09:57:46.143 に答える
6

ここでも同じ話ですが、MSパートナーシッププログラムのポイントを獲得するために、Win7ロゴのアプリケーションを認証しています。Comodoコード署名証明書を購入しました。アプリケーションはテストに合格し、Winqualアカウントを設定しようとしています。最初に別の署名証明書を購入する必要があることに腹を立てた後、この「組織証明書」を99ドルで実際に購入しようとすると5日遅れました。いいえ、「VeriSignSSL証明書の登録は一時的に利用できません。しばらくしてからもう一度お試しください。"、そしてサポートは私が今まで遭遇した中で最悪かもしれません。OMG...少なくとも問題の説明を読んだり、手順を再現したりしてみてください。別の問題に対する愚かな知識ベースの解決策を教えてください。 。または、サービスが利用できないと言うだけで、5日以内に利用できるようになります。

誰かが同じ問題を抱えている場合の更新だけで、私は最終的に登録の問題に対する答えを得て、注文しました。(私はあなたがテクニカルサポートで適切な人を得る必要があると思います:)

証明書を発行する前に、システムで注文を編集し、正しい会社と国の値を入力します。その後、発行する証明書に正しい情報が含まれます。」

于 2009-11-04T23:09:15.973 に答える
4

ハ!Comodo証明書とまったく同じスキームに遭遇しました。これは典型的ないじめっ子の行動であり、彼らの答えは完全にナンセンスです。どちらかといえば、私はComodoやThawteなどよりもVerisignを信用していません。彼らが少し前に試したことを忘れないでください。

于 2009-06-22T15:58:28.920 に答える
4

変更をサポートする場所は次のとおりです: https://connect.microsoft.com/site831/feedback/details/531903/allow-other-certificates-in-winqual-not-only-verisign

于 2010-02-08T12:34:56.793 に答える
3

これと同じ問題がありました。彼らはComodoコード署名証明書を受け入れませんでした。おそらく、グループの収益を増やすことです(MSが所有するVeriSign / VeriTest)。VeriSign以外の証明書を使用するようにという要求が大量にあったとは思わない。しかし、どのような選択肢がありますか....?

于 2009-03-04T16:59:31.317 に答える
2

問題は実際にはもっと深いところにあります。

特別なステータスを維持するために、当社の製品の 1 つの再認定が必要でした。もちろん、これは VeriTest を介してのみ行うことができます。お金を節約し、問題が発生する前に対応できるようにするために、Microsoft のいわゆる「Works with」ツールを使用してソフトウェアを自分でテストできるセルフテスト オプションを選択することにしました。

ドキュメントには、Windows Server 2008 R2 の検証に合格するには、すべてのバイナリ コードを Authenticode 証明書で署名する必要があると書かれていますが、これが実際にはオプションであり、テスト結果に影響を与えないことについては誰も言及していません (実際にテストするまでは)。このステップはオプションであり、テスト結果に影響を与えないことを示すレポート ページ)。

しかし、VeriSign 証明書の 4 分の 1 の価格であり、とにかくまったく同じことを行うため、それまでは Comodo 証明書を購入していました。

再認定が成功した直後に、Microsoft から現在の Virtual Launch Event とその一部になる可能性について通知を受けました (これは素晴らしいことです)。ただし、登録するには、WinQual に入り、何を推測する必要があります... もちろん、そのためには VeriSign WinQual 企業証明書が必要です (少なくとも)。

本当に面白いのは、少なくとも 2 日間、対応する VeriSign の Web サイトが利用できなかったことです。さらに 3 日間、そのような証明書を取得することはできず、今までサポート リクエストに応答することさえできませんでした。

他の会社が WinQual に似たプラットフォームのホスティングを開始するとしたら、それは素晴らしいことではないでしょうか。

ジョエル... ジェフ... ほら。それはあなたのためのものです:

「[...] exhandler.com は winqual に似ていますが、悪はありません。」

于 2009-10-27T07:02:39.487 に答える