1
liangdi 71 天前
访问一个网站,比运行一个程序,对于用户来说,安全性高多了,代码签名的信用成本高
|
2
epiphyllum 71 天前 1
1. 网站或域名的所有权可以通过非常简单的方式即时验证,而应用程序发布者的个人或企业身份验证过程+密钥存储/分发会繁琐得多。(额外的麻烦=额外的费用)
2. 代码签名证书泄露危害大,容易让发布者背大锅。(影响公司商誉) 3. TLS 证书使用量/签发量大,应用范围广(各种设备/各种应用/各种操作系统都在用);而代码签名证书往往应用范围有限(例如 Windows/MacOS/Android 都有各自不同的代码签名方式) 4. 保障通过 HTTP(S)/TLS 在网络上传输的数据的私密性非常重要( TLS 的重要性几乎无可替代),大家更愿意投钱出力推动这样保障基础安全的东西普及。 5. 对于保障发布者来源+程序完整性这些需求而言,付费代码签名证书的替代较多。例如:实际应用中往往还可以用 GPG/PGP (验证发布者&完整性)或者发布时附带 Hash (验证完整性)来解决一些信任问题。 6. 在 Windows 上付费的代码签名证书很多时候是为了过杀软,个人开发者或者小企业可能不在意这些事,而大公司在这种事情上就难受了。CA 对大公司开刀符合经济规律。 |
3
Yadomin 71 天前
现在的 https 只能证明连接的安全性,而不是网站的安全性,而签名的软件往往代表软件本身的安全性。
当然这也有可能是我在倒转因果( |
4
lcy630409 71 天前
|
5
yinmin 71 天前 via iPhone
代码签名证书是要人工验证企业信息的,成本高。如果偶尔用的话,可以找代理商按月购买。
|
6
neilp 71 天前
ssl 证书只签域名, 只对域名负责, 验证所有权也容易.
代码证书是要签代码, 对代码负责, 验证比较费事. |
7
mouyase 71 天前
安卓签名不是随便签
|
8
lisxour 70 天前
因为网站比软件安全多了,你打开一个网站,除非出现史诗级炸裂的漏洞,不然你打开后不主动诱骗交互的话,没这么容易中招,但是软件,你双击后你整台电脑任由摆布,这谁敢给你乱签啊。
|