Читал на хабре, что раньше были удостоверяющие центры, которые даром выдавали цифровые подписи для приложений с отрытым кодом. Но теперь эти центры только за немалые деньги их выдают. Может кто знает еще такие добрые удостоверяющие центры?

Цифровую подпись можно и самому выпустить. Тут главный вопрос - Зачем?

(1) Самому выпустить можно, но она не будет доверенной и Smart Screen задаст вопрос пользователю.

Так вот и вопрос зачем.
Я думаю простую, не квалифицированную подпись будет легко найти за бесплатно.

А вот усиленную квалифицированную ЭП ... ну минимум рублей за 500-600. Это немалые деньги?

В частности пишут что для доступа физлицам к порталу госуслуг достаточно иметь простую ЭЦП, которую обещают нарисовать бесплатно

"Получить электронную подпись бесплатно можно в том случае, если заявителя интересует простая ЭЦП, которая используется в рамках некоторых информационных систем." (с) https://iecp.ru/get-ep

а стоп, ты для приложений, тогда забудь что я писал выше

Обычно она стоит 80-100 Евро.

(6) 28 ойре у поляков https://en.sklep.certum.pl/data-safety/code-signing-certificates.html

Раньше у них же было совсем бесплатно, сейчас мутят что-то. На русской странице, кстати, такого предложения у них нет совсем (:

(7) Там я и пробовал. На английской странице сначала пишут 28 Евро, потом пишут что требуется какой то комплект разработчика (у меня его нет), а если его нет то 80 евро.

(8) Судя по всему, это не комплект разработчика, а железку в нагрузку:

Product available as an activation code or as a suite.

Certum Open Source Code Signing Suite contains: USB token combining a smart card reader and a Micro-SD card slot, cryptographic smart card, instructions.

Если сказать, что у тебя свой, внезапно будет 34.44 евро. А потом по коду активации получишь голый сертификат, по-моему так.

А просветите - зачем это?
Что даёт? Гарантию того что этот софт не страшный вирус?

(10) Подпись исполняемого файла доверенной цифровой подписью позволяет однозначно установить производителя программного кода. Если программа нанесет вред компьютеру, то всегда будет известно с кого начать расследование.

Если в свойствах файла есть закладка "Цифровые подписи", то там можно узнать, кто произвел файл (автор файла, кому выдан сертификат) и кто подтверждает подлинность этой подписи (удостоверяющий центр, кем выдан сертификат).

(12) а если я сам назначу себя удостоверяющий центром и сам себе выдам подпись?
Или удостоверяющий центры имеют централизованную систему построения?

(13) Тогда только ты и будешь самому себе доверять. Но не пользователи твоего тиражного продукта.

Да, система иерархическая. На самом верхнем уровне корневые сертификаты, распространяемые производителем ОС по защищенному каналу.

(13) Ну, если ты достаточно знаменит - то покатит
Но всякие виндовые проверки будут алертить - что подпись не доверенная.

Тоже сталкивался с такой проблемой при tsl шифровании, подписал свой подписью.

(14) ну назову я себя красивым названием - чем это будет отличаться от других красивых названий которые выааливаются мне а я ни сном ни духом кто это и что это

Другие известны микрософту и всему остальному миру как достоверные уц

(16) ОС доверяет только определенным сертификатам, которыми подписано приложение. Если приложение подписано сертификатом / подписью, которой ОС не доверяет, она будет кричать пользователю, что, мол, ты запускаешь приложение, которому Я (ОС) не могу доверять, опасность типа и все такое

(17) ну и чем они такие достоверные? От чего они меня застрахуют? Возместят ущерб?
Какую ответственность они несут? И в чем эта ответственность выражается?

(19) Наличие подписи таким сертификатом никакой гарантии не дает. Просто типа хороший тон, ну и чтобы ОС не орала на твое приложение при установке / запуске, как на недоверенное.

(20) типа стоял вахтер и проверял пропуска, но если пропуска не было - пускал и так?

(21) Примерно. Но всех идущих в подвал без пропуска расстреливал на месте (:

64б битная windows запрещает использование неподписанных драйверов, например. Совсем.

(0)Нет таких и не было, эта услуга всегда стоила дорого.
Вероятно вы путаете ее с ЭЦП для сайтов.

(19)Если вы разработчик - она застрахует от ругани ОС, и нелояльности антивирусов. Если вы владелец ОС - застрахует от множества рекламаций пользователей о некорректной работе ОС.
Если вы простой пользователь - застрахует от приличной части угроз со стороны приложений.

(23) >Нет таких и не было, эта услуга всегда стоила дорого. Вероятно вы путаете ее с ЭЦП для сайтов.

Все, нас раскусили. Сейчас спецы нас добру  и правде таки научат...

(23) > Если вы простой пользователь - застрахует от...

А от неприличной застрахует? Это важно!

(25) Нет.

(26) Ну так и знал! А если подороже купить ? С расширенной валидацией там... тоже нет?

(27) Без разницы.

(28) Ай, ай! Что же делать-то, как пользователей защитить?

(29) Работать!

(22) Что-то ты путаешь, по-прежнему это все отключается

(31) Для драйверов не отключается без перевода в тестовый режим.

(19) Лично перед тобой они не несут никакой ответственности. Но несут ответственность перед Microsoft. Если они выдадут сертификат какой-нибудь малвари, Microsoft их накажет (в худшем случае - лишит бизнеса). Прецеденты были.

Для пользователя они ценны тем, что дают знак: "производитель сего ПО был проверен конторой, имеющей некий авторитет в отрасли". Как дополнительный аргумент при принятии решения доверять – не доверять.

В случае с веб сертификатами наказывают производители браузеров (есть специальный консорциум). Случаи опять же были (StartCom, Symantec, DigiNotar и др.)

(32) Под словосочетание "запрещает совсем" этот сценарий слабо подходит )