将自签名证书用于代码签名软件

Question

目前，我们公司使用Versign/Symtanec的数字证书对我们的软件进行代码签名。

我们公司有人试图说服我们使用自签名证书，而不是从Verisign/Symantec购买的证书。部分是为了“降低成本”(尽管对于2-3年的续订来说非常便宜)，部分是为了在打补丁的意义上让事情变得更容易，因为我们的软件运行在(工业机器)上的系统已经安装了带有非Windows证书存储的软件，我们的证书也需要在其中进行管理。显然，他们希望使用Windows根CA来生成我们的证书，这样我们就不必一直修补新的证书，而且只要Windows根CA有效，我们的证书就会一直有效……

我一直在寻找，我发现有些人在网上使用自签名证书进行网站身份验证，但是当在代码签名环境中使用时，有很多生成证书的示例，人们说可以在更接近生产环境的环境中使用它们进行测试(我过去就这样做过)，但我找不到任何硬理由来解释为什么不使用自签名证书来进行代码签名生产软件。

我已经有一段时间没有看过证书方面的东西了，但这感觉就是错了。

这可能是因为我没有足够的经验来理解为什么这是一个好主意。有没有人有什么建议来帮助我理解这一切的全部含义？

Answer 1

使用自签名证书应该不起作用。这个想法是“值得信任的人”(不是你；而是Verisign或其他应该检查你的凭证的人)确认某些东西是经过认证的。

我不确定这在Windows中是如何工作的。可能是他们没有正确地实现一些东西。