Подпись кода — как сэкономить на покупке сертификата?

Question

[NikiI]

Здравствуйте!

Я - разработчик программного обеспечения, работаю один.

Для того, чтобы избежать SmartScreen при скачивании и установке моего ПО - требуется купить сертификат Code Signing.

Однако, он всё время дорожает, за 10 лет подорожал практически в 10 раз.

Насколько я помню:

В 2014 году был StartSSL, который стоил 60$ (2000 рублей), использовать его можно было 2 года.

В 2015 году 60$ стало уже 4000 рублей.

В 2017-2018 вообще пропал StartSSL, стал доступен Comodo из самых дешёвых. 8000 или 9000 рублей на год.

В 2021 покупал сертфикат на 2 года - Comodo Sectigo за 13000 рублей на год (итого 26000 рублей).

Сейчас и Comodo Sectigo пропал - остался GlobalSign Code Signing - который 16 000 в год (итого 48000 рублей) при заказе на 3 года, при заказе на год или 2 цены вообще неприемлемые.

В связи с этим вопрос - есть ли какие более дешёвые решения и можно ли нескольким независимым разработчикам скинуться и купить сертификат вскладчину? Зачем кормить буржуев и платить за воздух?

Answer 1

[ky0]

Не платите за воздух, раз уж вы из этих. Пусть пользователи продираются сквозь предупреждения защиты ОС - так много какие достаточно популярные проекты работают. Решите, в общем, ради денег вы всё это или как.

Comments

[NikiI]

Вообще странная ситуация - чтобы продавать ПО разработчику в России русским пользователям за рубли - надо купить буржуйский сертификат за доллары у буржуев. Причём стоит он (48 000 рублей) как 200 килограмм свининки. Нехилые у них аппетиты ...

Answer 2

[Алексей 〒.]

А почему не разместить в магазине приложений? Там и подпись и доп канал распространение.
Ну и цена за аккаунт разработчика, даже корпоративный, намного меньше и платится один раз. (Для индивидуального 19 долларов, но можно купить через кризисные регионы типа Аргентины вообще за сущие копейки)
На своих сайтах просто ссылки на установку из магазина добавите, и проблема решена

Comments

[NikiI]

Кстати, какие примеры российских магазинов софта есть? Кроме AllSoft/SoftLine (я уже там)?

[Алексей 〒.]

NikiI, я в ответе MS Store имел ввиду.
Из российских я не знаю

Answer 3

[CityCat4]

Для того, чтобы избежать SmartScreen при скачивании и установке моего ПО

переходите на линух. Я не знаю, что там у вас за софт, но винды в корпоративном секторе через год может остаться очень мало (домашний пока удерживают игры).
Ну либо чемодан-вокзал-Будапешт :)

Серфификат разработчика - это "цифровое удостоверение" того, что некая контора проверила тот факт, что Вы - это Вы, а не Вынь Сунь из Китая, который написал криптор, маскирующийся под Ваш софт. Сейчас в РФ работает только одна контора - это бельгийско-японский GlobalSign и, да, цены он ломит конские.

Извини, "рыночек порешал" :)

Comments

[NikiI]

Ни от чего по большому счёту сертификат не защищает. Особенно если речь о постоянных клиентах. Гарантия надёжности ПО - что это не вирус от китайца - мой сайт (защищенный, кстати, сертификатом для сайта не в пример более дешёвым AlphaSSL), демо-версия программы, контакты техподдержки. В конце концов - моя цель продать клиенту софт, а не заразить его компьютер вирусами.

С такими ценами это в чистом виде практически дань и гнобление малого бизнеса (крупный-то купит себе серт за 50 000 на организацию со 100 разработчиками без проблем).

[CityCat4]

NikiI, Вы же понимаете, что GlobalSign это пофиг? (Которая почему-то с пробором кладет на санкции-херанкции и ей ничего за это) И тем, кто все эти санкции-херанкции придумал - тоже пофиг? И менять никто ничего не будет - сейчас в драке сцепились большие пацаны, мы для них мелочь пузатая.

Ну, либо трактор заводить.

Answer 4

[Sergey В.]

Наличие сертификата - не 100% защита от срабатывания SmartScreen. Играет важную роль также наличие/отсутствие вирусных сигнатур в исполняемом файле и количество скачиваний исполняемого файла на ПК.
Я в своё время покупал Code Signing у Comodo, на три года.
Сейчас, из-за санкций вполне возможно, что Вам откажутся продавать сертификат. Страну Вы не скроете, т.к. нужно прикладывать нотариально заверенные копии документов.
Лучший вариант для Вас - попробовать купить сертификат вместе с кем-то, вскладчину. Хоть это и запрещено, но никто это не контролирует.

Comments

[NikiI]

Да, либо регистрировать сертификат на какого-нибудь хорошего клиента не из России. И надеяться, что он не кинет ...

[CityCat4]

вполне возможно, что Вам откажутся продавать сертификат.

Комод? Конечно откажет. Сейчас с РФ работает только бельгийско-японская GlobalSign. Она почему-то кладет с пробором на санкции-херанкции и ей за это ничего, но цены у нее кооооонские...