为什么 SSL 证书有很多免费的,代码签名证书没有?

89 天前
 drymonfidelia
3011 次点击
所在节点    程序员
9 条回复
liangdi
89 天前
访问一个网站,比运行一个程序,对于用户来说,安全性高多了,代码签名的信用成本高
epiphyllum
89 天前
1. 网站或域名的所有权可以通过非常简单的方式即时验证,而应用程序发布者的个人或企业身份验证过程+密钥存储/分发会繁琐得多。(额外的麻烦=额外的费用)

2. 代码签名证书泄露危害大,容易让发布者背大锅。(影响公司商誉)

3. TLS 证书使用量/签发量大,应用范围广(各种设备/各种应用/各种操作系统都在用);而代码签名证书往往应用范围有限(例如 Windows/MacOS/Android 都有各自不同的代码签名方式)

4. 保障通过 HTTP(S)/TLS 在网络上传输的数据的私密性非常重要( TLS 的重要性几乎无可替代),大家更愿意投钱出力推动这样保障基础安全的东西普及。

5. 对于保障发布者来源+程序完整性这些需求而言,付费代码签名证书的替代较多。例如:实际应用中往往还可以用 GPG/PGP (验证发布者&完整性)或者发布时附带 Hash (验证完整性)来解决一些信任问题。

6. 在 Windows 上付费的代码签名证书很多时候是为了过杀软,个人开发者或者小企业可能不在意这些事,而大公司在这种事情上就难受了。CA 对大公司开刀符合经济规律。
Yadomin
89 天前
现在的 https 只能证明连接的安全性,而不是网站的安全性,而签名的软件往往代表软件本身的安全性。
当然这也有可能是我在倒转因果(
lcy630409
89 天前
自签 ca
yinmin
88 天前
代码签名证书是要人工验证企业信息的,成本高。如果偶尔用的话,可以找代理商按月购买。
neilp
88 天前
ssl 证书只签域名, 只对域名负责, 验证所有权也容易.
代码证书是要签代码, 对代码负责, 验证比较费事.
mouyase
88 天前
安卓签名不是随便签
lisxour
88 天前
因为网站比软件安全多了,你打开一个网站,除非出现史诗级炸裂的漏洞,不然你打开后不主动诱骗交互的话,没这么容易中招,但是软件,你双击后你整台电脑任由摆布,这谁敢给你乱签啊。
stobacco
87 天前
@Yadomin 赞同

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1075481

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX