Как проверить цифровую подпись обновлятора 1С

После того, как разработчик обновлятора подтвердил свою личность в центре сертификации Comodo, стало возможным осуществлять данную процедуру.

Для подтверждения моей личности была выполнена процедура, включающая нотариальное заверение различных документов, связанных с моей личностью и имуществом, а также оплату стоимости сертификата (210 долларов за 3 года через ksoftware).

Как результат, я получил электронный сертификат от центра сертификации Comodo, и теперь я использую его для подписи всех исполняемых файлов обновлятора, а также самого установщика программы.

Перефразируй: Почему это важно

Цифровая подпись на файле, при условии её действительности, обеспечивает гарантии с помощью криптографии и корневых центров сертификации, которые изначально присутствуют в операционной системе. Это гарантирует, что файл не был изменен с момента его подписания разработчиком, что идентификация разработчика прошла проверку, и файл действительно получен от надежного источника. В результате, пользователи могут доверять файлу и быть уверенными в его подлинности, целостности и безопасности.

• Данный файл является продуктом работы определенного разработчика;
• Этот файл остался неизменным (как намеренно, так и случайно) с момента его выпуска разработчиком.

Верно, наличие действительной цифровой подписи, например, на установщике обновлятора, обеспечивает нам уверенность в том, что данный установщик был создан разработчиком и не подвергался изменениям после этого момента.

Как можно воспользоваться этой функцией?

Ручная установка обновлятора

Этот метод подходит, если вы сами загрузили установщик обновлятора с официального сайта или получили его из других источников.

Если у вас есть архив с обновлятором, разархивируйте его и откройте свойства файла "Setup.exe":

На вкладке "Цифровые подписи" выберите одну из доступных подписей и нажмите кнопку "Сведения":

В открывшемся окне должна быть ясно указано, что данная цифровая подпись является действительной

Если информация об открытой цифровой подписи не подтверждается, это означает, что файл "Setup.exe" был изменен после его выпуска разработчиком.

Если цифровая подпись подтверждается, нажмите кнопку "Просмотр сертификата" в том же окне и перейдите на вкладку "Состав":

Данные о субъекте (лице, которому был выдан сертификат) должны соответствовать информации, представленной выше на рисунке.

В завершение, перейдите на вкладку "Путь сертификации"

Каждый узел на вкладке "Путь сертификации" должен быть корректным, без зачеркивания.

Процесс установки новой версии с помощью обновлятора

Если вы запускаете процесс обновления обновлятора из самого обновлятора...

... тогда программа автоматически проверит правильность подписи для скачанного с сайта установщика:

Этот механизм обеспечивает защиту от следующего типа атак злоумышленников, когда:

1. Пользователь устанавливает программу и пользуется ею в течение некоторого времени.
2. Пользователь запускает процесс обновления программы из интернета, так как уже использует эту программу и доверяет ей.
3. Злоумышленники взломали сайт программы и заменили легитимное обновление на вирус или модифицированную версию программы в своих интересах. В то время как пользователь доверчиво запускает процесс обновления из интернета, они могут стать жертвой этой атаки.
4. Пользователь устанавливает вирус или модифицированную версию программы, даже не подозревая об этом.

Теперь, благодаря обновлятору, даже такой гипотетический трюк становится невозможным. В случае атаки на сайт, если была предпринята попытка обновления, обновлятор выдаст следующее сообщение:

Возможные причины, по которым проверка цифровой подписи может не работать, включают:

Если в результате проверки цифровой подписи дистрибутива или одного из файлов уже установленного обновлятора возникает ошибка.

Естественно, причиной этого может быть повреждение или изменение этих файлов.

Однако, в 99,9% случаев причина кроется в чем-то другом.

Скорее всего, вам необходимо обновить корневые сертификаты в операционной системе Windows (они могут быть неполными или устаревшими). Важно обновить их, так как именно на основе этих сертификатов операционная система проверяет действительность моего собственного сертификата, выданного Comodo.

Как отключить проверку цифровой подписи?

Внимание. Возможность может быть пока недоступна в текущей версии обновлятора.

Для отключения проверки цифровой подписи установщика обновлятора, скачанного с сайта:

• Откройте дополнительные настройки обновлятора.
• Перейдите на вкладку "Системные настройки".
• Поставьте отметку в поле "Не проверять цифровую подпись установщика обновлятора".