В настоящее время наша компания использует цифровой сертификат от Versign / Symtanec для подписи кода нашего программного обеспечения.
Кто-то в нашей компании пытается убедить нас использовать самозаверяющий сертификат вместо сертификата, приобретенного у Verisign / Symantec. Частично в качестве процедуры «снижения затрат» (хотя они чертовски дешевы для продления на 2–3 года), а частично для упрощения работы в смысле внесения исправлений, поскольку системы, на которых работает наше программное обеспечение (промышленные машины), имеют установленное программное обеспечение с хранилищем сертификатов, отличным от Windows, в котором также необходимо управлять нашим сертификатом. По-видимому, они хотят использовать корневой ЦС Windows для создания нашего сертификата, поэтому нам не нужно постоянно обновлять новые сертификаты, и наш сертификат будет действовать до тех пор, пока действителен корневой ЦС Windows ...
Куда бы я ни искал, я обнаружил, что некоторые люди используют самозаверяющие сертификаты для таких вещей, как проверка подлинности веб-сайтов по сети, но при использовании в контексте подписи кода есть много примеров для генерации сертификатов и людей. говоря, что вы можете использовать их для тестирования в среде, которая ближе к производственной среде (что я делал в прошлом), но я не могу найти никаких веских причин, почему бы не использовать самозаверяющий сертификат для кода - программное обеспечение для подписи производства.
Прошло много времени с тех пор, как мне приходилось смотреть на вещи со стороны сертификатов, но это просто неправильно.
Возможно, просто у меня недостаточно опыта с сертификатами, чтобы понять, почему это хорошая идея. Есть ли у кого-нибудь какие-либо материалы, чтобы помочь мне понять все последствия этого?
