Оглавление
О какой подписи идёт речь
Все версии программы Обновлятор-1с, выпущенные после 11 декабря 2017 года подписываются электронной подписью разработчика.
Это стало возможным после того, как я (Милькин Владимир Владимирович, разработчик обновлятора) подтвердил свою личность в центре сертификации Comodo.
Процедура подтверждения моей личности включала нотариальное заверение различных документов, относящихся ко мне и моему имуществу, а также оплату стоимости сертификата (210$ за 3 года через ksoftware).
В результате центр сертификации Comodo выдал мне электронный сертификат, которым я теперь подписываю все исполняемые файлы обновлятора, а также сам установщик программы.
Почему это важно
Цифровая подпись на файле (при условии, что она действительна) гарантирует (при помощи криптографии и корневых центров сертификации, которые присутствуют в операционной системе изначально), что:
- этот файл был выпущен конкретным разработчиком
- этот файл не менялся (намеренно или случайно) после того был выпущен разработчиком
То есть наличие действительной цифровой подписи, например, на установщике обновлятора даёт нам уверенность, что этот установщик был создан разработчиком и никем не менялся после этого.
Как использовать эту возможность
Установка обновлятора вручную
Этот способ подойдёт, если вы скачали установщик обновлятора вручную сайта или получили его из других источников.
В этом случае распакуйте полученный архив и откройте свойства файла "Setup.exe":
Перейдите на закладку "Цифровые подписи", выделите любую из подписей и нажмите кнопку "Сведения":
В открывшемся окне должно быть чётко указано, что эта цифровая подпись действительна:
Если это не так, значит файл Setup.exe был модифицирован уже после моего выпуска.
Если подпись действительна, нажмите кнопку "Просмотр сертификата" в этом же окне и перейдите на закладку "Состав":
Информация о субъекте (кому выдан сертификат) должна совпадать с информацией на рисунке выше.
Наконец, перейдите на закладку "Путь сертификации":
Она должна быть корректной (без зачёркивания) в каждом из узлов.
Установка новой версии из обновлятора
Если вы запускаете обновление обновлятора из самого обновлятора...
..., то программа сама проверит корректность подписи у скачанного с сайта установщика:
Этот механизм гарантирует нам защиту от следующего вида атак злоумышленников, когда:
- пользователь устанавливает и использует какое-то время программу
- пользователь запускает обновление программы из интернета (ведь он уже пользуется этой программой и доверяет ей)
- злоумышленники тем временем взломали сайт программы и выложили вместо легального обновления - вирус или модифицированную в своих интересах версию программы
- пользователь устанавливает вирус или модифицированную версию программы и даже не подозревает об этом
Теперь с обновлятором даже гипотетически такой трюк становится невозможным. В случае такой атаки сайта обновлятор при попытке обновиться выдаст следующее сообщение:
Почему может не работать проверка цифровой подписи
Если проверка цифровой подписи дистрибутива или одного из файлов уже установленного обновлятора проходит с ошибкой.
Причиной этого, конечно, может быть и повреждение (изменение) этих файлов.
Но в 99.9% случаев причина в другом.
Вашей Windows скорее всего требуется обновление корневых сертификатов (они неполные или устарели). Ведь именно опираясь на них операционная система делает проверку моего собственного сертификата, выданного Comodo.
О том, как обновить корневые сертификаты Windows рассказывается здесь.
Как отключить проверку цифровой подписи
Внимание. Эта возможность может быть пока недоступна в вашей версии обновлятора.
Чтобы отключить проверку цифровой подписи установщика обновлятора, скачанного с сайта:
- зайдите в дополнительные настройки обновлятора
- перейдите на закладку "Системные настройки"
- установите галку "Не проверять цифровую подпись установщика обновлятора"
На этом всё 
