Что будет, если сертификат не обновляется, EXE не переподписывается свежим сертификатом, ну и сам EXE не обновляется?
Сертификат комодовский. Вроде бы не должен протухать для уже подписанных модулей.
Так ли это?
Re: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, autopsist, Вы писали:
A>Что будет, если сертификат не обновляется, EXE не переподписывается свежим сертификатом, ну и сам EXE не обновляется? A>Сертификат комодовский. Вроде бы не должен протухать для уже подписанных модулей. A>Так ли это?
если есть time stamp, то не протухнет
Re: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, autopsist, Вы писали:
A>Что будет, если сертификат не обновляется, EXE не переподписывается свежим сертификатом, ну и сам EXE не обновляется? A>Сертификат комодовский. Вроде бы не должен протухать для уже подписанных модулей.
Здравствуйте, sushko, Вы писали:
S>Здравствуйте, autopsist, Вы писали:
A>>Что будет, если сертификат не обновляется, EXE не переподписывается свежим сертификатом, ну и сам EXE не обновляется? A>>Сертификат комодовский. Вроде бы не должен протухать для уже подписанных модулей.
S>У меня комодовский не протухает
Отлично. Теперь другой вопрос
Делаем свой инсталлер который скачивает все нужные файлы и устанавливает их. Подписываем инсталлер.
Если надо обновить софтину — обновляем, а инсталлер остается не измененным.
Прокатит такой подход?
Смысл — подписать инсталлер и забыть об обновлении сертификата.
Re[3]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, autopsist, Вы писали:
A>Отлично. Теперь другой вопрос A>Делаем свой инсталлер который скачивает все нужные файлы и устанавливает их. Подписываем инсталлер. A>Если надо обновить софтину — обновляем, а инсталлер остается не измененным.
A>Прокатит такой подход?
спросите у антивирусов.
Re[4]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, autopsist, Вы писали:
A>Делаем свой инсталлер который скачивает все нужные файлы и устанавливает их. Подписываем инсталлер. A>Если надо обновить софтину — обновляем, а инсталлер остается не измененным.
То есть на компьютере появляются неподписанные файлы, неподписанность которых может возбудить антивирус. Шило на мыло, да еще и подозрительная активность инсталлера по лазанью в интернет.
Плюс к тому — Вы аппроксимируете теперешние правила антивирусов на будущее, что неправильно.
A>Смысл — подписать инсталлер и забыть об обновлении сертификата.
А в чем смысл забывать об обновлении сертификата? Нет, ну он денег, конечно, стоит, плюс хлопоты с обновлением задалбывают, но не так уж много времени и денег, чтобы искать такие вот рискованные средства от них избавиться.
Здравствуйте, uuuser, Вы писали:
U>Здравствуйте, marcopolo, Вы писали:
A>>>>Прокатит такой подход? U>>>спросите у антивирусов.
M>>Разве им не пофиг на сертификаты?
U>им будет не пофиг прога качающая и запускающая хрен знает что.
Антивирям действительно не пофиг, но я с ними договорился
Так что этот вариант уже пройден поэтому интересует все остальное.
Re[4]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, sushko, Вы писали:
S>Здравствуйте, autopsist, Вы писали:
A>>Делаем свой инсталлер который скачивает все нужные файлы и устанавливает их. Подписываем инсталлер. A>>Если надо обновить софтину — обновляем, а инсталлер остается не измененным.
S>То есть на компьютере появляются неподписанные файлы, неподписанность которых может возбудить антивирус. Шило на мыло, да еще и подозрительная активность инсталлера по лазанью в интернет.
S>Плюс к тому — Вы аппроксимируете теперешние правила антивирусов на будущее, что неправильно.
A>>Смысл — подписать инсталлер и забыть об обновлении сертификата.
S>А в чем смысл забывать об обновлении сертификата? Нет, ну он денег, конечно, стоит, плюс хлопоты с обновлением задалбывают, но не так уж много времени и денег, чтобы искать такие вот рискованные средства от них избавиться.
Подписываем всегда только инсталлеры, остальные файлы не подписывали никогда. Они не требуют админских прав (за исключением инсталлера) и нативири не возбуждаются никак. Так что это как раз не берем в расчет.
С сертификатами каждые пять лет проходим квест, который каждый раз усложняется. Замотало это.
Re[7]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, autopsist, Вы писали:
A>Антивирям действительно не пофиг, но я с ними договорился A>Так что этот вариант уже пройден поэтому интересует все остальное.
ну вообще идея интересная, особенно если мелкомягкие выдавят антивирусы, только вот заодно они и нас могут в свой магазин выдавить, а тогда сертификаты будут не нужны.
Re[8]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, uuuser, Вы писали:
U>Здравствуйте, autopsist, Вы писали:
A>>Антивирям действительно не пофиг, но я с ними договорился A>>Так что этот вариант уже пройден поэтому интересует все остальное.
U>ну вообще идея интересная, особенно если мелкомягкие выдавят антивирусы, только вот заодно они и нас могут в свой магазин выдавить, а тогда сертификаты будут не нужны.
Всегда может случиться апокалипсис, это да.
Но тут панацеи нет.
Re[8]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
U>ну вообще идея интересная, особенно если мелкомягкие выдавят антивирусы, только вот заодно они и нас могут в свой магазин выдавить, а тогда сертификаты будут не нужны.
Всё таки компьютеры — это не мобильники с их "приложеньицами" за 2 доллара. Тут ПО гораздо серьезнее. Думаю им придется сильно постараться чтобы "загнать". Могут и сами пострадать — себе сделать хуже
Re[5]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, autopsist, Вы писали:
S>>А в чем смысл забывать об обновлении сертификата? Нет, ну он денег, конечно, стоит, плюс хлопоты с обновлением задалбывают, но не так уж много времени и денег, чтобы искать такие вот рискованные средства от них избавиться.
A>Подписываем всегда только инсталлеры, остальные файлы не подписывали никогда. Они не требуют админских прав (за исключением инсталлера) и нативири не возбуждаются никак. Так что это как раз не берем в расчет.
A>С сертификатами каждые пять лет проходим квест, который каждый раз усложняется. Замотало это.
С другой стороны, если правила вдруг изменятся и по каким-то причинам потребуются свежие подписи, то Вы потеряете ~месяц продаж — время, потребное на прохождение очередного квеста. Мне кажется, цена ошибки при принятии решения слишком велика...
Здравствуйте, sushko, Вы писали:
S>С другой стороны, если правила вдруг изменятся и по каким-то причинам потребуются свежие подписи, то Вы потеряете ~месяц продаж — время, потребное на прохождение очередного квеста. Мне кажется, цена ошибки при принятии решения слишком велика...
Если правила поменяются, то какая разница, старый у тебя сертификат или новый, а может и вообще нет. На такой шаг могут пойти разве что при компрометации корневого.
Re[7]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, tip-top, Вы писали:
TT>Здравствуйте, sushko, Вы писали:
S>>С другой стороны, если правила вдруг изменятся и по каким-то причинам потребуются свежие подписи, то Вы потеряете ~месяц продаж — время, потребное на прохождение очередного квеста. Мне кажется, цена ошибки при принятии решения слишком велика... TT>Если правила поменяются, то какая разница, старый у тебя сертификат или новый, а может и вообще нет. На такой шаг могут пойти разве что при компрометации корневого.
Согласен.
Да, я этот риск тоже учитываю и чтобы понадобилось менять сам инсталлер — это надо небу упасть.
В самом инсталлере нечего особо менять, кроме рюшечек. Все остальное качается с сайта и может меняться как мне вздумается.
Re[7]: Нужно ли обновлять сертификат если подписанный EXE не обновляется?
Здравствуйте, tip-top, Вы писали:
S>>С другой стороны, если правила вдруг изменятся и по каким-то причинам потребуются свежие подписи, то Вы потеряете ~месяц продаж — время, потребное на прохождение очередного квеста. Мне кажется, цена ошибки при принятии решения слишком велика...
TT>Если правила поменяются, то какая разница, старый у тебя сертификат или новый, а может и вообще нет. На такой шаг могут пойти разве что при компрометации корневого.
Я имею в виду менее категоричные изменения условий
Сейчас предположительно антивирусы&co не будут ругаться, если подписанный инсталлер тащит из Интернета неподписанные файлы — OK, подписываем один раз инсталлер и перестаем обновлять электронную подпись. Через пять лет антивирусы вдруг спохватываются и начинают запрещать такое поведение. Вы судорожно получаете ЭЦП, на что уходит примерно месяц — и, соответственно, теряете месяц продаж.
Мне кажется, что проще вовремя обновлять подпись и не допускать такой ситуации, т.к. антивирусы непредсказуемы, а цена ошибки будет слишком велика.
Здравствуйте, sushko, Вы писали:
TT>>Если правила поменяются, то какая разница, старый у тебя сертификат или новый, а может и вообще нет. На такой шаг могут пойти разве что при компрометации корневого.
S>Я имею в виду менее категоричные изменения условий
S>Сейчас предположительно антивирусы&co не будут ругаться, если подписанный инсталлер тащит из Интернета неподписанные файлы — OK, подписываем один раз инсталлер и перестаем обновлять электронную подпись. Через пять лет антивирусы вдруг спохватываются и начинают запрещать такое поведение. Вы судорожно получаете ЭЦП, на что уходит примерно месяц — и, соответственно, теряете месяц продаж.
S>Мне кажется, что проще вовремя обновлять подпись и не допускать такой ситуации, т.к. антивирусы непредсказуемы, а цена ошибки будет слишком велика.
С одной стороны — верно. С другой стороны антивирусы и так ЭЦП игнорируют, когда им удобно. антивирусы — непредсказуемы