Здравствуйте, uuuser, Вы писали:

u> u>> а как вы докажете юзеру что ваш сервер не взломан?

u> R>А как ты докажешь юзеру, что твой сертификат не утек?

u> отзыв сертификата, не?

Пока ты это обнаружишь, пока отзовешь, пока эта информация приедет к юзеру...

u> ну вообще никто не хранит сертификаты подписи кода на web серверах, и ситуация когда хакнули всё и вся, подписали и выложили под видом оригинала крайне маловероятная и быстро обнаруживаемая.

Сертификат могут тиснуть с твоей рабочей машины. Подписать им любую хрень и распространять в виде бандла с твоим софтом. И бандл будет подписан твоим сертификатом.

Я это к чему: юзер, в любом случае, ни чем не защищен. Ему остается только надеяться на то, что разработчик не совсем далпайоп и все делает правильно (может обеспечить защиту критически важных ресурсов, будь то вебсервер или билд-машина).