为什么 SSL 证书有很多免费的，代码签名证书没有？

访问一个网站，比运行一个程序，对于用户来说，安全性高多了，代码签名的信用成本高

1. 网站或域名的所有权可以通过非常简单的方式即时验证，而应用程序发布者的个人或企业身份验证过程+密钥存储/分发会繁琐得多。（额外的麻烦=额外的费用）

2. 代码签名证书泄露危害大，容易让发布者背大锅。（影响公司商誉）

3. TLS 证书使用量/签发量大，应用范围广（各种设备/各种应用/各种操作系统都在用）；而代码签名证书往往应用范围有限（例如 Windows/MacOS/Android 都有各自不同的代码签名方式）

4. 保障通过 HTTP(S)/TLS 在网络上传输的数据的私密性非常重要（ TLS 的重要性几乎无可替代），大家更愿意投钱出力推动这样保障基础安全的东西普及。

5. 对于保障发布者来源+程序完整性这些需求而言，付费代码签名证书的替代较多。例如：实际应用中往往还可以用 GPG/PGP （验证发布者&完整性）或者发布时附带 Hash （验证完整性）来解决一些信任问题。

6. 在 Windows 上付费的代码签名证书很多时候是为了过杀软，个人开发者或者小企业可能不在意这些事，而大公司在这种事情上就难受了。CA 对大公司开刀符合经济规律。

现在的 https 只能证明连接的安全性，而不是网站的安全性，而签名的软件往往代表软件本身的安全性。
当然这也有可能是我在倒转因果（

自签 ca

代码签名证书是要人工验证企业信息的，成本高。如果偶尔用的话，可以找代理商按月购买。

ssl 证书只签域名, 只对域名负责, 验证所有权也容易.
代码证书是要签代码, 对代码负责, 验证比较费事.

安卓签名不是随便签

因为网站比软件安全多了，你打开一个网站，除非出现史诗级炸裂的漏洞，不然你打开后不主动诱骗交互的话，没这么容易中招，但是软件，你双击后你整台电脑任由摆布，这谁敢给你乱签啊。

@Yadomin 赞同