V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
drymonfidelia
V2EX  ›  程序员

为什么 SSL 证书有很多免费的,代码签名证书没有?

  •  
  •   drymonfidelia · 70 天前 · 2951 次点击
    这是一个创建于 70 天前的主题,其中的信息可能已经有所发展或是发生改变。
    9 条回复    2024-09-26 00:25:16 +08:00
    liangdi
        1
    liangdi  
       70 天前
    访问一个网站,比运行一个程序,对于用户来说,安全性高多了,代码签名的信用成本高
    epiphyllum
        2
    epiphyllum  
       70 天前   ❤️ 1
    1. 网站或域名的所有权可以通过非常简单的方式即时验证,而应用程序发布者的个人或企业身份验证过程+密钥存储/分发会繁琐得多。(额外的麻烦=额外的费用)

    2. 代码签名证书泄露危害大,容易让发布者背大锅。(影响公司商誉)

    3. TLS 证书使用量/签发量大,应用范围广(各种设备/各种应用/各种操作系统都在用);而代码签名证书往往应用范围有限(例如 Windows/MacOS/Android 都有各自不同的代码签名方式)

    4. 保障通过 HTTP(S)/TLS 在网络上传输的数据的私密性非常重要( TLS 的重要性几乎无可替代),大家更愿意投钱出力推动这样保障基础安全的东西普及。

    5. 对于保障发布者来源+程序完整性这些需求而言,付费代码签名证书的替代较多。例如:实际应用中往往还可以用 GPG/PGP (验证发布者&完整性)或者发布时附带 Hash (验证完整性)来解决一些信任问题。

    6. 在 Windows 上付费的代码签名证书很多时候是为了过杀软,个人开发者或者小企业可能不在意这些事,而大公司在这种事情上就难受了。CA 对大公司开刀符合经济规律。
    Yadomin
        3
    Yadomin  
       70 天前
    现在的 https 只能证明连接的安全性,而不是网站的安全性,而签名的软件往往代表软件本身的安全性。
    当然这也有可能是我在倒转因果(
    lcy630409
        4
    lcy630409  
       70 天前
    自签 ca
    yinmin
        5
    yinmin  
       70 天前 via iPhone
    代码签名证书是要人工验证企业信息的,成本高。如果偶尔用的话,可以找代理商按月购买。
    neilp
        6
    neilp  
       70 天前
    ssl 证书只签域名, 只对域名负责, 验证所有权也容易.
    代码证书是要签代码, 对代码负责, 验证比较费事.
    mouyase
        7
    mouyase  
       69 天前
    安卓签名不是随便签
    lisxour
        8
    lisxour  
       69 天前
    因为网站比软件安全多了,你打开一个网站,除非出现史诗级炸裂的漏洞,不然你打开后不主动诱骗交互的话,没这么容易中招,但是软件,你双击后你整台电脑任由摆布,这谁敢给你乱签啊。
    stobacco
        9
    stobacco  
       69 天前
    @Yadomin 赞同
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1029 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 21:30 · PVG 05:30 · LAX 13:30 · JFK 16:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.