1 min de leitura ·

Code Signing (EV) no Windows

Olá amigos, como uma das últimas etapas para publicar meu software desktop indie, estou buscando um certificado EV. Infelizmente, o Azure Trusted Signing, a opção mais em conta (cerca de $10/mês), não está disponível para o Brasil (e para empresas com menos do que 3 anos de incorporação, embora este requisito talvez seja mais flexível).

Estou buscando um certificado EV (+token USB), e está difícil achar preços razoáveis - há descontos para certificados de 3 anos, porém dificilmente fica abaixo de U$ 300/ano. Será que vale a pena pagar um certificado de 1 ano, mesmo que mais caro e "torcer" para que o Azure eventualmente fique disponível? Vi também que certificados acima de 1 ano também não serão emitidos, o que parece ser um indício de mudança para certificados cloud-based ?

Aceito toda e qualquer ajuda: como foi a experiência de vocês com este tópico? Alguém está em situação semelhante ou comprou destes sites de certificados "baratos"? Como foi o processo de certificação?

E, por fim, quem diria que assinar o código no Mac seria muito mais simples e barato ($ 99/ano).

ricaun

2 meses atrás

Utilizo Code Signing faz bastante tempo, e o primeiro certificado que comprei foi em 2020 e foi de um 1 ano, depois comprei de 3 anos, e no ano passado tive que comprar novamente mais 3 anos.

Acabei pegando a mudança que o certificado de Code Signing que agora a chave precisa estar linkada a um hardware ou um token USB.

E o ultimo certificado que comprei precisava integram com meu CI/CD no GitHub, então token USB não era uma opção viável.

Depois de pesquisar acabei comprando um certificado do tipo HSM Cloud para poder instalar o certificado no Azure Key Vault e usar o https://github.com/vcsjones/AzureSignTool para assinar minha aplicação. Permitindo que meu CI/CD no GitHub continue assinando meus plugins sem me incomodar.

Pra mim valeu a pena o primeiro certificado ser de uma ano, na época não tinha caixa e nem sabia se a ideia/produto ia dar certo.

Tu comentou software desktop indie então minha sugestão seria comprar um certificado de 1 ano cloud-based, ainda mais que token USB tens que pagar caso não tenhas e tem a limitação de não poder integrar com automação de CI/CD.

O valor é por ai, agora se comprar o certificado mais simples sem EV sai mais em conta, só que a tela azul no Windows provavelmente vai aparecer caso for alguma instalação da tua aplicação.

Agora o processo de compra foi tranquilo, pelo menos onde comprei tive uma experiencia muito boa. Ainda mais que o certificado foi gerado com alguns dados da empresa incorretamente e foi bem tranquilo de resolver.

Floobert

Autor

1 mês atrás

Grato! Estou buscando o EV de 1 ano, mas os preços estão exorbitantes, na faixa dos U$ 400, vou seguir minha busca, no final terei que assumir como "business cost" e torcer para que a situação mude no próximo ano e que o software obtenha sucesso.

alexandrehtrb

2 meses atrás

Um tempo atrás tive que lidar com isso de code signing no Windows e vou te dizer, é um porre. No final, desisti e continuo publicando sem code signing.

As empresas que emitem os certificados só emitem para quem tem empresa (CNPJ), então não dá para um desenvolvedor individual conseguir um, segundo o que eu vi. Os sites dessas empresas autenticadoras são bem estranhos, eu não senti segurança neles. Além disso, o preço é simplesmente absurdo, US$ 300 / ano, daí para mais.

Para parar de aparecer a tela azul de "O Windows impediu um software suspeito", para mim bastou enviar o meu executável para o Microsoft Malware Analysis, é um portal que analisa programas para incluir na whitelist do Windows. Depois que fiz isso, parou de aparecer o aviso azul de segurança.

Link: https://www.microsoft.com/en-us/wdsi/filesubmission

O Notepad++ recentemente teve esse mesmo problema, o certificado dele expirou e não queriam emitir um para ele por ser um dev individual. Então, o criador decidiu assinar com um certificado auto-assinado.

https://notepad-plus-plus.org/news/v883-self-signed-certificate/