/t/983477
我当时找的是上海的帝 X (首字母)的一个 EV 代码签名注册商,他们最终是基于 SSL.com 为载体的。
我用了一年,觉得不错,就又续费了三年。
大概 2 个月后,有人忽然联系我,问我可以不可以卖我的某非法软件,应该是破解 steam 之类的。
我之所以补这个贴,是因为哪个非法软件依然再推广,刚才还有人联系我想代理。
我当时也纳闷,为啥这个软件也会找到我,结果对方说是根据代码签名。
我当时的代码签名只在本地使用,没有上传过任何网盘啥的。所以我联系到了上海帝 X 的帮我注册的人员,他们一开始说我是不是上传到网上泄露了。我说不可能我就本地使用的。
其实购买代码签名前我也了解过这个玩意,有个黑产叫代签,就是用别人的签名签你的软件,收费大概 400 多一次,如果是公司级别的和有效期时间长价格更贵。
后来帝 X 和我说是他们的测试服务器被 hack 攻破,所以导致签名泄露,我也相信了。后来我联系了 SSL 官方,官方说我这个订单(订单在帝 X 那,但是当时认证的时候有邮件发送到我的邮箱的)下面有多达十几个签名证书,而实际上帝 X 只给了我一个签名文件,而且非法软件签名的证书和我的证书的序号也不一致。
所以我对帝 X 说:我不管你代签了多少软件,但是就三个要求,订单转给我的账户,退还我的 2800 元的订单金额,并且取消签名的可用性。
帝 X 也照做了,但是就算签名取消,已生效的签名也依旧有效,依旧用在非法软件上(具体多少非法软件被帝 X 偷偷签名了我不知道),ssl.com 官方也答应处理,目前 1 个月过去了,啥结果都没有,而且签名已经生效。
我也是心寒了,本来想好好解决这事,但是解决不了,所以发个贴告知各位同行,注意下别被坑了。
