Forum général.cherche-logiciel CA pour signature d'application

Posté par  . Licence CC By‑SA.
5
3
fév.
2022

Bonjour,

Dans mon travail, on développe, entre autre, des applications Windows et on est un peu lassé pas les retours sur les applications non signée, et on se résout donc à acheter un certificat de signature de code.

Seulement, voilà, la question qu'on se pose est auprès de quelle CA va-t-on acquérir celui-ci ? On en a bien sûr identifiée plusieurs, mais elles sont en très grande majorité basées aux US.

Auriez-vous connaissances de CA qui vendraient des certificats de signature de code, version EV, sur support physique et qui soient basées en Europe ?

Merci pour vos pointeurs.

  • # Listes de prestas recommandés par l'ANSSI

    Posté par  . Évalué à 3. Dernière modification le 04 février 2022 à 12:21.

    En furetant sur les pages de l'agence de cybersécurité gouvernementale, j'ai trouvé ces deux listes pour mieux cibler votre recherche:

    Je suis curieux de savoir si vous aviez pu trouver ce que vous recherchez grâce à ma modeste contribution. Dans ce cas, je vous remercie d'avance de me répondre sur ce fil si vous aviez pu trouver votre bonheur.

  • # je ne saurais pas dire

    Posté par  . Évalué à 4.

    Contrairement aux serveurs sur lesquels tu héberges ton application, qu'il soit basé en Europe ne change pas grand chose, il faut surtout qu'il soit connu de tes clients.

    Cela pourrait meme etre toi meme (enfin ta société), qui dispose d'une autorité de certification (CA) interne

    et qui deploie cette CA sur les ordis de tes utilisateurs et de tes clients au moment d'installer l'appli.

    sinon sur internet en cherchant "SSL Certificat Vendor Europe"
    je suis tombé sur :
    https://sourceforge.net/software/ssl-certificate/europe/

    et un comparateur (enfin un blog) qui en dit plus sur les 10 "meilleurs" fournisseurs
    https://www.pluralsight.com/blog/software-development/top-reliable-ssl-certificates

    • [^] # Re: je ne saurais pas dire

      Posté par  . Évalué à 3.

      Contrairement aux serveurs sur lesquels tu héberges ton application, qu'il soit basé en Europe ne change pas grand chose, il faut surtout qu'il soit connu de tes clients.

      Je ne suis pas d'accord. La CA est un élément clef de la confiance, et une CA qui réémet un certificat peut espionner ton trafic à ton insu et celle de ton utilisateur. Les CA sous contrôle américain sont clairement sous le coup d'obligations légales permettant aux services américain de mettre en place ce genre de choses. De plus, la CA héberge les CRL et le serveur OCSP, qui sont contactés régulièrement par les clients.

      Cela pourrait meme etre toi meme (enfin ta société), qui dispose d'une autorité de certification (CA) interne

      et qui deploie cette CA sur les ordis de tes utilisateurs et de tes clients au moment d'installer l'appli.

      En l'occurrence, il me faut une CA qui soit directement intégré à Windows, pour deux raisons :
      - je ne veux pas demander à nos clients d'ajouter notre certificat dans le magasin de certificat de Windows, ce serait nous accorder trop de confiance ;
      - on envisage de fournir un driver (on fait du matériel) et pour ça, il faut un certificat EV, et je n'ai aucune envie de passer les certifications correspondante.

      Quoi qu'il en soit, je te remercie pour les liens, je vais regarder ça. À première vue, ils ne correspondent pas vraiment à ma recherche, car ce sont plutôt des listes d'hébergeurs, mais je trouverais peut être en fouillant un peu.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.