Что будет, если сертификат не обновляется, EXE не переподписывается свежим сертификатом, ну и сам EXE не обновляется?
Сертификат комодовский. Вроде бы не должен протухать для уже подписанных модулей.
Так ли это?

Здравствуйте, autopsist, Вы писали:

A>Что будет, если сертификат не обновляется, EXE не переподписывается свежим сертификатом, ну и сам EXE не обновляется?
A>Сертификат комодовский. Вроде бы не должен протухать для уже подписанных модулей.
A>Так ли это?


если есть time stamp, то не протухнет

Здравствуйте, autopsist, Вы писали:

A>Что будет, если сертификат не обновляется, EXE не переподписывается свежим сертификатом, ну и сам EXE не обновляется?
A>Сертификат комодовский. Вроде бы не должен протухать для уже подписанных модулей.

У меня комодовский не протухает

Здравствуйте, sushko, Вы писали:

S>Здравствуйте, autopsist, Вы писали:

A>>Что будет, если сертификат не обновляется, EXE не переподписывается свежим сертификатом, ну и сам EXE не обновляется?
A>>Сертификат комодовский. Вроде бы не должен протухать для уже подписанных модулей.

S>У меня комодовский не протухает

Отлично. Теперь другой вопрос
Делаем свой инсталлер который скачивает все нужные файлы и устанавливает их. Подписываем инсталлер.
Если надо обновить софтину — обновляем, а инсталлер остается не измененным.

Прокатит такой подход?
Смысл — подписать инсталлер и забыть об обновлении сертификата.

Здравствуйте, autopsist, Вы писали:

A>Отлично. Теперь другой вопрос
A>Делаем свой инсталлер который скачивает все нужные файлы и устанавливает их. Подписываем инсталлер.
A>Если надо обновить софтину — обновляем, а инсталлер остается не измененным.

A>Прокатит такой подход?

спросите у антивирусов.

Здравствуйте, uuuser, Вы писали:


A>>Прокатит такой подход?

U>спросите у антивирусов.

Разве им не пофиг на сертификаты?

Здравствуйте, marcopolo, Вы писали:

U>>спросите у антивирусов.
M>Разве им не пофиг на сертификаты?

Нет, не пофиг. Раньше, во всяком случае, было не пофиг — из-за них я первый сертификат и завел.

Здравствуйте, autopsist, Вы писали:

A>Делаем свой инсталлер который скачивает все нужные файлы и устанавливает их. Подписываем инсталлер.
A>Если надо обновить софтину — обновляем, а инсталлер остается не измененным.

То есть на компьютере появляются неподписанные файлы, неподписанность которых может возбудить антивирус. Шило на мыло, да еще и подозрительная активность инсталлера по лазанью в интернет.

Плюс к тому — Вы аппроксимируете теперешние правила антивирусов на будущее, что неправильно.

A>Смысл — подписать инсталлер и забыть об обновлении сертификата.

А в чем смысл забывать об обновлении сертификата? Нет, ну он денег, конечно, стоит, плюс хлопоты с обновлением задалбывают, но не так уж много времени и денег, чтобы искать такие вот рискованные средства от них избавиться.

Здравствуйте, marcopolo, Вы писали:

A>>>Прокатит такой подход?
U>>спросите у антивирусов.

M>Разве им не пофиг на сертификаты?

им будет не пофиг прога качающая и запускающая хрен знает что.

Здравствуйте, uuuser, Вы писали:

U>Здравствуйте, marcopolo, Вы писали:

A>>>>Прокатит такой подход?
U>>>спросите у антивирусов.

M>>Разве им не пофиг на сертификаты?

U>им будет не пофиг прога качающая и запускающая хрен знает что.

Антивирям действительно не пофиг, но я с ними договорился
Так что этот вариант уже пройден поэтому интересует все остальное.

Здравствуйте, sushko, Вы писали:

S>Здравствуйте, autopsist, Вы писали:

A>>Делаем свой инсталлер который скачивает все нужные файлы и устанавливает их. Подписываем инсталлер.
A>>Если надо обновить софтину — обновляем, а инсталлер остается не измененным.

S>То есть на компьютере появляются неподписанные файлы, неподписанность которых может возбудить антивирус. Шило на мыло, да еще и подозрительная активность инсталлера по лазанью в интернет.

S>Плюс к тому — Вы аппроксимируете теперешние правила антивирусов на будущее, что неправильно.

A>>Смысл — подписать инсталлер и забыть об обновлении сертификата.

S>А в чем смысл забывать об обновлении сертификата? Нет, ну он денег, конечно, стоит, плюс хлопоты с обновлением задалбывают, но не так уж много времени и денег, чтобы искать такие вот рискованные средства от них избавиться.

Подписываем всегда только инсталлеры, остальные файлы не подписывали никогда. Они не требуют админских прав (за исключением инсталлера) и нативири не возбуждаются никак. Так что это как раз не берем в расчет.

С сертификатами каждые пять лет проходим квест, который каждый раз усложняется. Замотало это.

Здравствуйте, autopsist, Вы писали:

A>Антивирям действительно не пофиг, но я с ними договорился
A>Так что этот вариант уже пройден поэтому интересует все остальное.

ну вообще идея интересная, особенно если мелкомягкие выдавят антивирусы, только вот заодно они и нас могут в свой магазин выдавить, а тогда сертификаты будут не нужны.

Здравствуйте, uuuser, Вы писали:

U>Здравствуйте, autopsist, Вы писали:

A>>Антивирям действительно не пофиг, но я с ними договорился
A>>Так что этот вариант уже пройден поэтому интересует все остальное.

U>ну вообще идея интересная, особенно если мелкомягкие выдавят антивирусы, только вот заодно они и нас могут в свой магазин выдавить, а тогда сертификаты будут не нужны.

Всегда может случиться апокалипсис, это да.
Но тут панацеи нет.

Здравствуйте, uuuser, Вы писали:


U>ну вообще идея интересная, особенно если мелкомягкие выдавят антивирусы, только вот заодно они и нас могут в свой магазин выдавить, а тогда сертификаты будут не нужны.

Всё таки компьютеры — это не мобильники с их "приложеньицами" за 2 доллара. Тут ПО гораздо серьезнее. Думаю им придется сильно постараться чтобы "загнать". Могут и сами пострадать — себе сделать хуже

Здравствуйте, autopsist, Вы писали:

S>>А в чем смысл забывать об обновлении сертификата? Нет, ну он денег, конечно, стоит, плюс хлопоты с обновлением задалбывают, но не так уж много времени и денег, чтобы искать такие вот рискованные средства от них избавиться.

A>Подписываем всегда только инсталлеры, остальные файлы не подписывали никогда. Они не требуют админских прав (за исключением инсталлера) и нативири не возбуждаются никак. Так что это как раз не берем в расчет.

A>С сертификатами каждые пять лет проходим квест, который каждый раз усложняется. Замотало это.

С другой стороны, если правила вдруг изменятся и по каким-то причинам потребуются свежие подписи, то Вы потеряете ~месяц продаж — время, потребное на прохождение очередного квеста. Мне кажется, цена ошибки при принятии решения слишком велика...

Здравствуйте, sushko, Вы писали:

S>С другой стороны, если правила вдруг изменятся и по каким-то причинам потребуются свежие подписи, то Вы потеряете ~месяц продаж — время, потребное на прохождение очередного квеста. Мне кажется, цена ошибки при принятии решения слишком велика...
Если правила поменяются, то какая разница, старый у тебя сертификат или новый, а может и вообще нет. На такой шаг могут пойти разве что при компрометации корневого.

Здравствуйте, tip-top, Вы писали:

TT>Здравствуйте, sushko, Вы писали:

S>>С другой стороны, если правила вдруг изменятся и по каким-то причинам потребуются свежие подписи, то Вы потеряете ~месяц продаж — время, потребное на прохождение очередного квеста. Мне кажется, цена ошибки при принятии решения слишком велика...
TT>Если правила поменяются, то какая разница, старый у тебя сертификат или новый, а может и вообще нет. На такой шаг могут пойти разве что при компрометации корневого.

Согласен.
Да, я этот риск тоже учитываю и чтобы понадобилось менять сам инсталлер — это надо небу упасть.
В самом инсталлере нечего особо менять, кроме рюшечек. Все остальное качается с сайта и может меняться как мне вздумается.

Здравствуйте, tip-top, Вы писали:

S>>С другой стороны, если правила вдруг изменятся и по каким-то причинам потребуются свежие подписи, то Вы потеряете ~месяц продаж — время, потребное на прохождение очередного квеста. Мне кажется, цена ошибки при принятии решения слишком велика...

TT>Если правила поменяются, то какая разница, старый у тебя сертификат или новый, а может и вообще нет. На такой шаг могут пойти разве что при компрометации корневого.

Я имею в виду менее категоричные изменения условий

Сейчас предположительно антивирусы&co не будут ругаться, если подписанный инсталлер тащит из Интернета неподписанные файлы — OK, подписываем один раз инсталлер и перестаем обновлять электронную подпись. Через пять лет антивирусы вдруг спохватываются и начинают запрещать такое поведение. Вы судорожно получаете ЭЦП, на что уходит примерно месяц — и, соответственно, теряете месяц продаж.

Мне кажется, что проще вовремя обновлять подпись и не допускать такой ситуации, т.к. антивирусы непредсказуемы, а цена ошибки будет слишком велика.

Здравствуйте, sushko, Вы писали:

TT>>Если правила поменяются, то какая разница, старый у тебя сертификат или новый, а может и вообще нет. На такой шаг могут пойти разве что при компрометации корневого.

S>Я имею в виду менее категоричные изменения условий

S>Сейчас предположительно антивирусы&co не будут ругаться, если подписанный инсталлер тащит из Интернета неподписанные файлы — OK, подписываем один раз инсталлер и перестаем обновлять электронную подпись. Через пять лет антивирусы вдруг спохватываются и начинают запрещать такое поведение. Вы судорожно получаете ЭЦП, на что уходит примерно месяц — и, соответственно, теряете месяц продаж.

S>Мне кажется, что проще вовремя обновлять подпись и не допускать такой ситуации, т.к. антивирусы непредсказуемы, а цена ошибки будет слишком велика.

С одной стороны — верно. С другой стороны антивирусы и так ЭЦП игнорируют, когда им удобно. антивирусы — непредсказуемы