Где купить сертификат для подписывания программ?

Question

[Александр Чернышев]

Хочу добавить цифровые подписи к своим программам (exe, dll) и их инсталляторам. Надеюсь программы с подписью будут вызывать меньше галлюцинаций у антивирусов.
Где дешевле купить эту самую подпись? Может есть бесплатные сертификаты как у SSL ?
Как используются эти подписи - покупается отдельный сертификат на каждое подписание каждой программы? Или можно сколько угодно программ подписывать?
Я не в РФ, юрлицо в Словакии. И мне не нужны какие-то аппаратные ключи и онлайн-сервисы подписания, которые впаривают продавцы сертификатов. Хотелось бы по проще и по дешевле найти. Интересен опыт тех кто уже как-то эту проблему решил. Буду благодарен за любые наводки.

Comments

[Alexey Dmitriev]

Поиск по гуглу с запросом code signing certificate, free code signing certificate не осилили?

[ValdikSS]

https://www.sslshopper.com/cheap-code-signing-cert...

[CityCat4]

Если Вы в РФ и Вам надо именно купить сертификат, то Вам в контору под названием Э М А Р О (она написана так странно, потому что совершенно неведомо почему - но она банится местным фильтром!)

Хотя наверняка есть и бесплатные.

[Sergey В.]

CityCat4, бесплатных Code Sign нет.

[CityCat4]

Sergey В., Это конечно печально ;)

[ksnovv]

Если Вы в Европе то в любом коммерческом УЦ купить. Стоимость будет зависеть от уровня IV/OV/EV

Answer 1

[Sergey В.]

Почитайте ответы в ветке, тогда большинство вопросов отпадёт.
Сертификат представляет собой файл и отдельно - пароль. Внутри файла прописан срок действия сертификата. При подписании используется (как правило) сервер точного времени, чтобы Вы не смогли перевести часы на ПК и выполнить подписание недействительным сертификатом.
Подписать можно сколько угодно exe в период действия сертификата. Если Вы выпускаете софт с долговременной поддержкой (часто обновляете), то есть смысл приобретения сертификата на максимально длительный срок. Это как правило дешевле, чем приобретать сертификат каждый год. Сертификаты не продляются, а перевыпускаются заново. Поэтому при каждой покупке сертификата - у Вас будет новый сертификат.
Не связывайтесь с теми, кто предлагает услуги по подписанию софта своим сертификатом. Если таким сертификатом когда-нибудь будет подписан софт с вирусом, антивирусы будут считать этот сертификат скомпрометированным, а заодно и Ваш софт - опасным.
Чтобы антивирусы не срабатывали на Ваш софт - проведите анализ тонких мест. Возможно от каких-то подозрительных (с точки зрения антивирусов) функций ПО можно отказаться или переделать их на более безопасный вариант.
В целом - сертификат нужен больше для уверенности пользователя, что софт не модифицировался и выпущен именно конторой "Рога и копыта". Антивирусы больше анализируют сигнатуры кода, нежели сертификат. Хотя при частых загрузках пользователями Вашего софта, проверка антивирусом существенно ускорится.

Comments

[Александр Чернышев]

Спасибо. Хоть какая-то полезная информация. По ветке искал, то там все не про то. Часто упоминают некое Comodo. Поискал - там не самые низкие цены и навязывают покупку usb-свистка. Выше подсказали ssl.com. Там дешевле, но там еще онлайн-программу для подписания навязывают. И только 20 "подписаний" в месяц.
И значит есть мнение, что от антивирусов это никак не спасет... размышляю есть ли смысл заморачиваться...

[Sergey В.]

Александр Чернышев, насчёт антивирусов - всё зависит от целевой аудитории Вашего софта. Если Вы делаете софт для конкретных заказчиков - они будут его использовать в любом случае, будут отключать антивирус или вносить софт в исключения. Если Вы рассчитываете на массовый рынок - тут играют роль два важных момента: низкая квалификация пользователей, которые следуют указаниям антивируса ИЛИ медийная раскрученность софта, при которой они поставят себе софт в любом случае. Тут уже больше маркетинговые правила играют роль.
Comodo раньше был самым недорогим. Мне годовой сертификат обошёлся в 100$. Сейчас у них уже другие условия. А отзывы в сети остались )
Насчёт ограничения числа подписаний - это что-то новое, раньше я такого не слышал. Скорее всего они выписывают сертификат и прячут его внутри файла для подписания (или шифруют). Для подписания - временно распаковывывают. Или используют маскировку пароля (что более вероятно).