[ot] Gdzie kupić certyfikat do podpisywania aplikacji
max
Przejrzałem listę "Microsoft Root Certificate Program Members"
http://msdn.microsoft.com/en-us/library/ms995347.aspx
Widzę rozrzut cenowy
verisign 499$
http://www.verisign.com/code-signing/content-signing-certificates/microsoft-authenticode/index.html
goddady 199$
http://www.godaddy.com/gdshop/ssl/signing.asp?ci=15595
zakupienie w Polsce 490zł + vat
http://certum.pl/certum/cert,oferta_microsoft_authenticode.xml
Czy z punktu widzenia użytkownika ma jakieś znaczenie czym podpiszemy ?
M
slaweks
> Gdzie najlepiej kupić certyfikat którym podpiszę moją aplikację ?
> Przejrzałem listę "Microsoft Root Certificate Program Members"http://msdn.microsoft.com/en-us/library/ms995347.aspx
> Widzę rozrzut cenowy
> Czy z punktu widzenia użytkownika ma jakieś znaczenie czym podpiszemy ?
Ogolnie nie. Moze byc cokolwiek. Ale zobacz co dostajesz za te cene.
Bo moze w tej drozszej sa jakies dodatkowe uslugi.
Ai
> Gdzie najlepiej kupi� certyfikat kt�rym podpisz� moj� aplikacj� ?
Np. tutaj: https://secure.ksoftware.net/code_signing.html - 99 $, taniej
raczej nie dostaniesz.
> Czy z punktu widzenia u�ytkownika ma jakie� znaczenie czym podpiszemy ?
�adne. Pomijaj�c oczywi�cie teorie spiskowe fanboy�w Firefoxa na temat
certyfikat�w wystawianych przez Comodo ;).
Ostatnio przechodzi�em t� procedur� zar�wno jako osoba prywatna jak i w
imieniu firmy. �adnych problem�w z aplikacjami podpisywanymi tymi
certyfikatami nie mam, no chyba �e znajdziesz gdzie� Windowsa 95 lub 98
(przy czym 98 SE ju� to nie dotyczy) - ale zawsze mo�na doinstalowa�
r�cznie aktualizacj� certyfikat�w g��wnych...
--
Pozdrowienia
Ai / mailto: n...@nvbary.arg / ROT-13 /
"Ilo�� wykonanej pracy jest odwrotnie proporcjonalna do czasu sp�dzonego w
biurze."
zpksoft
>
> Przejrzałem listę "Microsoft Root Certificate Program Members"http://msdn.microsoft.com/en-us/library/ms995347.aspx
>
> Widzę rozrzut cenowy
>
>
> goddady 199$http://www.godaddy.com/gdshop/ssl/signing.asp?ci=15595
>
> zakupienie w Polsce 490zł + vathttp://certum.pl/certum/cert,oferta_microsoft_authenticode.xml
>
> Czy z punktu widzenia użytkownika ma jakieś znaczenie czym podpiszemy ?
>
> M
A tak z ciekawości, bo nie tutejszy jestem. Po co to?
Paweł
Adam Pajak
>> M
>
> A tak z ciekawo�ci, bo nie tutejszy jestem. Po co to?
>
> Paweďż˝
Podpis uwiarygadnia �e plik kt�ry u�ywa u�ytkownik pochodzi od
okre�lonej osoby (na kt�ra jest wydany podpis) i nie zosta� przez nikogo
zmodyfikowany. Podpisujemy zar�wno programy jak i DLL activeX i sterowniki.
U�ytkownicy nie s� denerwowani jakimi� komunikatami �e aplikacja
pochodzi od nieznanego dostawcy.
W vista i 7 w wersji 64 bitowej nie uruchomisz (bez specjalnych
zabieg�w) sterownika kt�ry jest nie podpisany, a ja w�a�nie mam taki
problem. Musze podpisa� moje sterowniki aby dzia�a�y na 64 bitowej vista
Adam Pajak
> Pewnego razu max napisaďż˝:
>
>> Gdzie najlepiej kupi� certyfikat kt�rym podpisz� moj� aplikacj� ?
>
>
> Np. tutaj: https://secure.ksoftware.net/code_signing.html - 99 $, taniej
> raczej nie dostaniesz.
>
:(
Signing hardware drivers is not currently supported.
zpksoft
>
> > Paweł
>
> Podpis uwiarygadnia że plik który używa użytkownik pochodzi od
> określonej osoby (na która jest wydany podpis) i nie został przez nikogo
> zmodyfikowany. Podpisujemy zarówno programy jak i DLL activeX i sterowniki.
>
> Użytkownicy nie są denerwowani jakimiś komunikatami że aplikacja
> pochodzi od nieznanego dostawcy.
>
> W vista i 7 w wersji 64 bitowej nie uruchomisz (bez specjalnych
> problem. Musze podpisać moje sterowniki aby działały na 64 bitowej vista
Dzięki za info, rzeczywiście fajny sposób aby wyciągnąć trochę kasy od
programistów :)
Pozdrawiam- Paweł Krzyżanowski
zpksoft
>
> > A tak z ciekawości, bo nie tutejszy jestem. Po co to?
>
> > Paweł
>
> Podpis uwiarygadnia że plik który używa użytkownik pochodzi od
> określonej osoby (na która jest wydany podpis) i nie został przez nikogo
> zmodyfikowany. Podpisujemy zarówno programy jak i DLL activeX i sterowniki.
>
> pochodzi od nieznanego dostawcy.
>
> W vista i 7 w wersji 64 bitowej nie uruchomisz (bez specjalnych
> problem. Musze podpisać moje sterowniki aby działały na 64 bitowej vista
Czy to ograniczenie dot. sterowników dotyczy również np. usług
systemowych ?
Paweł
max
>
> Dzięki za info, rzeczywiście fajny sposób aby wyciągnąć trochę kasy od
> programistów :)
>
> Pozdrawiam- Paweł Krzyżanowski
Ciekawe czy pośrednio cześć opłaty za certyfikat wraca do MS, bo
przecież bycie autoryzowanym partnerem MS też musi kosztować ;)
max
> Czy to ograniczenie dot. sterowników dotyczy również np. usług
> systemowych ?
>
> Paweł
Na chwile obecną to nie wiem czy usługi systemowe też (raczej nie), co
ciekawe to chyba była jakaś aktualizacja do windows-a 64 bitowego, bo
teoretycznie można odinstalować poprawkę która dodała opcję ze
sterowniki muszą być podpisane w wersji 64 bit.
M
Przemyslaw Osmanski
>
>>
>> Dzi�ki za info, rzeczywi�cie fajny spos�b aby wyci�gn�� troch� kasy od
>> programist�w :)
>>
>> Pozdrawiam- Pawe� Krzy�anowski
>
> Ciekawe czy po�rednio cze�� op�aty za certyfikat wraca do MS, bo
> przecieďż˝ bycie autoryzowanym partnerem MS teďż˝ musi kosztowaďż˝ ;)
>
Program podpisany certyfikatem uznawanym przez M$ != autoryzowany
partner MS.
pozdrawiam,
Przemek O.
max
> max pisze:
>>
>>>
>>> Dzięki za info, rzeczywiście fajny sposób aby wyciągnąć trochę kasy od
>>> programistów :)
>>>
>>> Pozdrawiam- Paweł Krzyżanowski
>>
>> przecież bycie autoryzowanym partnerem MS też musi kosztować ;)
>>
>
> Program podpisany certyfikatem uznawanym przez M$ != autoryzowany
> partner MS.
Oczywiście racja, miałem na mysli
"Microsoft Root Certificate Program Members" ;)
zpksoft
Jak napisałem wcześniej, jestem nietutejszy w tym temacie, ale jak
rozumiem to lipa. Płacisz za cetryfikat a nie uzyskujesz go spełniając
jakieś założenia ?
Paweł
Przemyslaw Osmanski
> On 23 Gru, 10:34, max <m...@max.pl> wrote:
>> W dniu 2009-12-22 13:02, Przemyslaw Osmanski pisze:
>>
>>> max pisze:
>>>>> programist�w :)
>>>>> Pozdrawiam- Pawe� Krzy�anowski
>>>> przecieďż˝ bycie autoryzowanym partnerem MS teďż˝ musi kosztowaďż˝ ;)
>>> Program podpisany certyfikatem uznawanym przez M$ != autoryzowany
>>> partner MS.
>> "Microsoft Root Certificate Program Members" ;)
>
> rozumiem to lipa. P�acisz za cetryfikat a nie uzyskujesz go spe�niaj�c
> jakie� za�o�enia ?
To nie tak.
Certyfikat o kt�rym tutaj mowa, to tak jakby odmiana "klucza
prywatnego". Za jego pomoc� jednostka wystawiaj�ca dany certyfikat
potwierdza nasz� to�samo�� (producenta).
I je�li tak przyk�adowy Kowalski pobierze z internetu nasze
oprogramowanie, to przy instalacji nie b�dzie mia� komunikatu, �e soft
pochodzi z nieznanego �r�d�a, ale otrzyma informacje, �e zosta� on
wydany (podpisany) przez takďż˝ i takďż˝ firmďż˝.
Od biedy, certyfikat mo�na wystawi� sobie samemu. Ale nie b�d�c stron�
zaufan�, to taki certyfikat poza samym faktem istnienia niewiele (je�li
nie nic) daje.
Natomiast je�li chodzi o certyfikaty spe�niaj�ce za�o�enia, to polecam
CE na oprogramowanie.
Nie chwal�c si�, w�a�nie otrzyma�em certyfikacj� CE na jeden z moich
program�w, oraz klas� 2a dla wyrob�w medycznych, wi�c wiem co� o tym.
Og�lnie ciekawsza sprawa ni� z ISO. Przyje�d�aj� na audyt osoby kt�re z
bran�� nie maj� nic wsp�lnego (poza wydawaniem certyfikat�w i robieniem
audyt�w) i b�d� Ci� przekonywa�, �e nie masz poj�cia o cyklu �ycia
aplikacji, programowaniu i w og�le do dnia dzisiejszego wszystko robi�e�
�le. Do tego zap�acisz za to kup� siana... ehh
MKi
> CE na oprogramowanie.
Ale to chyba tylko w wyrobach medycznych mo�na? Bo jaka jeszcze
inna dyrektywa?
> Nie chwal�c si�, w�a�nie otrzyma�em certyfikacj� CE na jeden z moich
> program�w, oraz klas� 2a dla wyrob�w medycznych, wi�c wiem co� o tym.
Gratulacje :)
> Og�lnie ciekawsza sprawa ni� z ISO. Przyje�d�aj� na audyt osoby kt�re z
> bran�� nie maj� nic wsp�lnego (poza wydawaniem certyfikat�w i robieniem
> audyt�w) i b�d� Ci� przekonywa�, �e nie masz poj�cia o cyklu �ycia
> aplikacji, programowaniu i w og�le do dnia dzisiejszego wszystko robi�e�
> �le. Do tego zap�acisz za to kup� siana... ehh
No bo oni sprawdzaj� na zgodno�� z norm�, 60601-1-4 i 62304
zdaje si�. A w tych normach to jest mniej wi�cej to, co
ucz� na studiach (no, uczyli, w moim przypadku kilkadziesi�t
lat temu...). Ale tylko mniej wi�cej - a musisz mie� zapisy
(np. wyniki test�w) �ci�le zgodne z tym, co w normie.
W ka�dym razie mnie nikt nie przekonywa�, �e "robi�em �le".
Musia�em tylko przestawi� si� na inny spos�b prowadzenia
zapis�w. Pewnie trafi� Ci si� jaki� natchniony auditor.
Jaka firma da�a Ci certyfikat CE?
Pozdrowienia,
MKi
Przemyslaw Osmanski
>> Natomiast je�li chodzi o certyfikaty spe�niaj�ce za�o�enia, to polecam
>> CE na oprogramowanie.
>
> Ale to chyba tylko w wyrobach medycznych mo�na? Bo jaka jeszcze
> inna dyrektywa?
CE to og�lnie dla wszystkich. 2a to faktycznie medyczna i VAT 7% (co
najwa�niejsze).
> No bo oni sprawdzaj� na zgodno�� z norm�, 60601-1-4 i 62304
> zdaje si�. A w tych normach to jest mniej wi�cej to, co
> ucz� na studiach (no, uczyli, w moim przypadku kilkadziesi�t
> lat temu...). Ale tylko mniej wi�cej - a musisz mie� zapisy
> (np. wyniki test�w) �ci�le zgodne z tym, co w normie.
>
> W ka�dym razie mnie nikt nie przekonywa�, �e "robi�em �le".
> Musia�em tylko przestawi� si� na inny spos�b prowadzenia
> zapis�w. Pewnie trafi� Ci si� jaki� natchniony auditor.
> Jaka firma da�a Ci certyfikat CE?
Dok�adnie - bardzo natchniony. Firma to o ile pami�tam DNV, ale podam w
poniedzia�ek jak sprawdz� na papierze.
MKi
>>> polecam CE na oprogramowanie.
>>
>> Ale to chyba tylko w wyrobach medycznych mo�na? Bo jaka jeszcze
>> inna dyrektywa?
>
> CE to og�lnie dla wszystkich.
Eeee... Czyli mo�na oznaczy� CE ka�dy program? Wed�ug jakiej
dyrektywy? Ja najbardziej siedzďż˝ w medycznej i tam
oprogramowanie jest jawnie wymienione, ale inne? Jakie?
> VAT 7% (co najwa�niejsze).
Nie? :) Chwalmy UE za to, wcze�niej by�o normalne 22%.
>> Pewnie trafiďż˝ Ci siďż˝ jakiďż˝ natchniony auditor.
>> Jaka firma da�a Ci certyfikat CE?
>
> Dok�adnie - bardzo natchniony. Firma to o ile pami�tam DNV, ale podam w
> poniedzia�ek jak sprawdz� na papierze.
Ja mia�em styczno�� z TUV Rheinland, TUV Nord i PCBC.
MSZ ci pierwsi sďż˝ najbardziej kompetentni (za to cena
najwy�sza), �rodkowi to natchnieni, ostatni ca�kiem
w porz�dku.
Pozdrowienia,
MKi
zpksoft
> >>> Natomiast jeśli chodzi o certyfikaty spełniające założenia, to
> >>> polecam CE na oprogramowanie.
>
> >> Ale to chyba tylko w wyrobach medycznych można? Bo jaka jeszcze
> >> inna dyrektywa?
>
> > CE to ogólnie dla wszystkich.
>
> Eeee... Czyli można oznaczyć CE każdy program? Według jakiej
> dyrektywy? Ja najbardziej siedzę w medycznej i tam
> oprogramowanie jest jawnie wymienione, ale inne? Jakie?
>
>
> Nie? :) Chwalmy UE za to, wcześniej było normalne 22%.
>
> >> Pewnie trafił Ci się jakiś natchniony auditor.
> >> Jaka firma dała Ci certyfikat CE?
>
> > Dokładnie - bardzo natchniony. Firma to o ile pamiętam DNV, ale podam w
> > poniedziałek jak sprawdzę na papierze.
>
> Ja miałem styczność z TUV Rheinland, TUV Nord i PCBC.
> MSZ ci pierwsi są najbardziej kompetentni (za to cena
> najwyższa), środkowi to natchnieni, ostatni całkiem
> w porządku.
>
> Pozdrowienia,
> MKi
Nigdy nie miałem z tym styczności, lamer jestem :)
Co jest audytowane ? Kod? Interfejs? Zabezpieczenia? Zgodność z
czymśtam?
Jeżeli mogę prosić o krótką info, będę wdzięczny.
Paweł
MKi
> Nigdy nie mia�em z tym styczno�ci, lamer jestem :)
> Co jest audytowane ? Kod? Interfejs? Zabezpieczenia? Zgodno�� z
> czym�tam?
> Je�eli mog� prosi� o kr�tk� info, b�d� wdzi�czny.
Kr�tko to sie nie da :)
Oficjalnie auditowana jest zgodno�� z wymaganiami
zasadniczymi opisanymi w dyrektywie medycznej,
dla nas w stosownym rozporz�dzeniu Ministra Zdrowia.
To przek�ada si� na zgodno�� z normami zharmonizowanymi.
Zak�adaj�c, �e chodzi tylko o oprogramowanie
(m�j przypadek to opr�cz softu te� hardware,
wi�c mam wi�cej do roboty):
Jest norma PN EN 62304 o tytule
"Oprogramowanie wyrob�w medycznych -- Procesy
cyklu �ycia oprogramowania."
W niej napisano, jak ma przebiega� cykl �ycia.
Pobie�nie - na przyk�ad cz�� produkcyjna:
przed ka�dym krokiem masz zdefiniowa�
wymagania i testy, jakie wykona�, aby te wymagania spe�ni�.
Potem wykonujesz ten krok i po nim testy sprawdzaj�ce,
czy Ci si� uda�o. "Krok" to na pocz�tku ca�a aplikacja,
potem kolejne modu�y, procedury itd.
Czyli wpierw definiujesz wymagania dla aplikacji
i testy do sprawdzenia tych wymagaďż˝, potem tworzysz
aplikacj� (wchodz�c "w g��b" z kolejnymi krokami) i
na koniec wykonujesz zdefiniowane na pocz�tku testy.
Wa�ne jest, aby PRZED tworzeniem zdefiniowa� CO
ma byďż˝ zrobione i JAK to sprawdziďż˝.
Jest jeszcze norma PN EN 60601-1-4 "Medyczne
urz�dzenia elektryczne. Cz�� 1 - 4: Og�lne
wymagania bezpiecze�stwa. Norma uzupe�niaj�ca.
Medyczne systemy elektryczne programowane."
Ta norma dotyczy sytuacji, gdy jest hard i soft,
do samego oprogramowania sie nie stosuje, ale
traktuje mniej wi�cej o tym samym i MSZ jest
bardziej czytelna od 62304, wi�c
w razie czego polecam jej lekturďż˝.
DO tego wszystkiego dochodzi rzecz najwa�niejsza w
wyrobach medycznych - analiza ryzyka (a w�a�ciwie
zarz�dzanie ryzykiem). Definiowanie wymaga� musi
zawiera� rozwa�ania na temat ryzyka, czy jest
akceptowalne, czy nie. Jak nie, to trzeba siďż˝
cofa� o krok wstecz. Tu k�ania si� kolejna
norma, PN-EN ISO 14971 "Wyroby medyczne --
Zastosowanie zarz�dzania ryzykiem do wyrob�w medycznych".
I na koniec odpowiedďż˝ na Twoje pytanie, co jest
auditowane: zgodno�� z tymi dwiema normami, czyli
Twoje zapisy z wszystkich element�w prac:
opis krok�w, dla ka�dego opis wymaga�,
test�w i raporty z przeprowadzonych test�w,
a tak�e opis analizy ryzyka.
Do kodu auditor nie zagl�da (przynajmniej nigdy
si� z tym nie spotka�em.
Napisa�em "dwiema normami" bo wydaje mi si�,
�e dla oprogramowania stosuje si� tylko te dwie.
Ale w og�le norm do wyrob�w medycznych s� setki
i by� mo�e trafi si� jeszcze inna, obowi�zkiem
producenta jest przegl�dn�� wszystkie te normy
i jawnie odrzuci� (zn�w zapisy, na pi�mie i dlaczego)
te, kt�re si� nie stosuj�.
Nie wspomn� o innych obowi�zkach producenta
wyrob�w medycznych, cho�by utrzymywaniu procedury
wycofywania wyrobu z rynku czy procedury wydawania
notatek doradczych. Z tego teďż˝ auditujďż˝.
Teraz mo�na sobie odpowiedzie�, czy wart jest ten 7% VAT...
Pozdrowienia,
MKi
zpksoft
> Pozdrowienia,
> MKi
Wielkie dzięki za wyczerpujące wyjaśnienie i przy okazji powodzenia w
nowym roku.
Paweł
max
nie spodziewał.
Akurat temat norm medycznych, CE itp. też nie jest mi obcy(mam nadzieje
ze MKi to nie konkurencja ;))
Pozdrawiam
MKi
> Od podpisywania aplikacji doszli�my do norm medycznej, tego to bym si�
> nie spodziewaďż˝.
> Akurat temat norm medycznych, CE itp. teďż˝ nie jest mi obcy(mam nadzieje
My�l� �e w�tpi� ;)
Ja to wyroby "klasyczne", u mnie oprogramowanie to firmware.
A Delphi i oprogramowanie PeCetowe to uzupe�nienie g��wnej
dzia�alno�ci.
Pozdrowienia i takoďż˝ Najlepszego w Nowym roku,
MKi