Hoe ik zo'n € 1.200 bespaarde op Windows OV code signing

Dit artikel is gebaseerd op de echte vallen en opstaan die ik meemaakte tijdens de voorbereiding van de lancering van een Windows desktop-app. Prijzen en beleid kunnen veranderen — controleer altijd de officiële pagina’s voordat u betaalt.

0. Hoe het begon

Ik ben een voormalig consultant die niets wist van programmeren — kon niet eens Hello World! afdrukken, kende alleen Ctrl+C / Ctrl+V in Excel. Na mijn ontslag begon ik met “vibe coding” met AI en koos een ambitieuze desktop-app als eerste project.

Toen ik de app wilde delen met vrienden om te testen op MacBooks en Windows-pc’s, liepen ze allemaal tegen hetzelfde probleem aan: het kon niet geïnstalleerd worden. Toen leerde ik dat installeerbare apps code signing en notarisatie nodig hebben — bewijs dat het bestand niet is gewijzigd tussen ontwikkelaar en eindgebruiker.

Het proces en de kosten bleken veel zwaarder dan verwacht.

1. Wat app-signing en notarisatie mij werkelijk kostten

De Mac-kant bleek verrassend soepel.

• Apple Developer-registratie kost ca. € 85 per jaar ($99 USD).
• Na registratie verliep de packaging → signing → notarisatie flow soepeler dan verwacht.
• Installatie en automatische updates via electron-updater werkten direct betrouwbaar.

In mijn geval draaide na registratie en koppeling met Codex de hele keten — packaging, signing, Apple-server indiening, notarisatie — bijna als één pipeline. De installer werkte probleemloos op de MacBook van een vriend: geen “Onbekende ontwikkelaar” waarschuwing en automatische updates werkten direct.

Maar de Windows-kant was een heel ander verhaal.

• OV code signing certificaten zijn van nature al duur.
• Via een lokale reseller wordt de prijs nog hoger.
• Sommige leveranciers verplichten de aanschaf van een fysieke USB-sleutel (zoals YubiKey).
• Bij elke ondertekening hardware aansluiten maakt CI/CD-automatisering lastig.

2. Waarom Windows OV code signing zo zwaar is voor indie-ontwikkelaars

Om SmartScreen-waarschuwingen en installatieblokkades op Windows te vermijden, heb je een vertrouwd certificaat nodig — en dat betekent bedrijfsverificatie doorstaan, of je nu zzp’er of bedrijf bent. Op het moment van mijn onderzoek bestonden er niveaus zoals IV / OV / EV, waarbij OV het realistische minimum was voor distributie.

Het probleem was het reseller-model. Resellers vragen certificaten aan bij CA’s zoals SSL.com of DigiCert namens jou, maar hun marge was absurd. Het certificaat was al duur, automatisering was moeilijk, en bovenop kwam de fysieke sleutel.

Voor iemand als ik — die zonder AI-agent geen regel code kan schrijven — was het idee om elke build handmatig met een USB-stick te signeren onacceptabel.

Dus vroeg ik het eerst aan de community.

• Moet ik echt meer dan $700 uitgeven aan een OV/EV code signing certificaat om een Windows-app te distribueren? (Clien)

Het algemene antwoord was “ja, zo werkt het” — maar ik weigerde dat te accepteren.

3. Het alternatief van Reddit: SSL.com directe aankoop + Cloud eSigner

De beslissende hint kwam uit Engelstalige ontwikkelaarscommunities. AI gaf vaak te generieke antwoorden, maar op Reddit deelden mensen met echte Windows-distributie-ervaring veel praktischere alternatieven.

Aanvankelijk leek Microsofts Azure Trusted Signing ook veelbelovend — goede prijs en goede automatisering. Maar op het moment van controle was het voornamelijk beschikbaar voor individuele ontwikkelaars in Canada en de VS, dus geen optie voor mij.

Uiteindelijk koos ik voor de combinatie SSL.com directe aankoop + Cloud eSigner.

De prijzen die ik op dat moment vond:

• Met de traditionele USB-key setup lagen de totale kosten rond de $500.
• Maar het pakket OV-certificaat $128 + Cloud eSigner $20/maand leek een nieuwer, flexibeler plan.
• Dit voelde als de goedkoopste en meest automatiseringsvriendelijke optie.

Drie redenen waarom deze aanpak overtuigde:

1. De reseller-marge viel volledig weg.
2. Geen wekenlang wachten op een fysieke USB-sleutel.
3. Het opende de deur om het ondertekeningsproces met Codex te automatiseren.

4. De echte hindernis bij de SSL.com certificaatuitgifte

Cloud eSigner op zich is een aantrekkelijke dienst. Het maandelijkse abonnement lijkt misschien verspilling, maar het elimineert fysieke sleutels en werkt prima met automatisering.

Het echte struikelblok was het uitgifteproces:

• Bedrijfsregistratiedocumenten
• Persoonlijke identiteitsverificatie
• Bewijs dat ik een echt persoon ben
• Bewijs dat mijn bedrijf daadwerkelijk bestaat

Na dit alles stelde SSL nog een extra eis: een D-U-N-S nummer ter verificatie van adres, telefoonnummer en e-mail.

Ik kon niet helpen denken: als dit verplicht was, waarom stond het er niet vanaf het begin bij?

5. De doorbraak: D-U-N-S aanvragen via Apple Developer

Een D-U-N-S nummer zelfstandig verkrijgen kan extra kosten en bureaucratie met zich meebrengen. Ik zat weer vast en begon me af te vragen of mijn “budgetvriendelijke directe aankoop” uiteindelijk duurder zou uitvallen dan de reseller-route.

Maar Reddit redde me opnieuw. Iemand deelde deze tip:

Als je al geregistreerd bent als Apple Developer, kan Apple je verbinden met D&B om een D-U-N-S nummer aan te vragen voor bedrijfsverificatiedoeleinden.

Het officiële document dat ik gebruikte:

• Apple Developer D-U-N-S gids voor leden

Dit is belangrijk omdat ontwikkelaars die al apps commercialiseren in het Apple-ecosysteem dezelfde bedrijfsinformatie kunnen hergebruiken. In mijn geval kon ik via deze route relatief snel een D-U-N-S nummer op naam van "K-garoo Works" verkrijgen.

Zonder overdrijving — dit is wat me ervan weerhield nog meer geld uit te geven terwijl ik de goedkoopste Windows-certificaatroute zocht.

6. Het D-U-N-S nummer ontvangen was niet het einde

Dankzij Apple ontving ik mijn D-U-N-S nummer vrij snel. Maar dat was nog niet het eindpunt.

Toen ik het nummer bij SSL indiende, zeiden ze dat ze het niet konden verifiëren. Ik controleerde zelf openbare opzoeksites en ontdekte dat niet-Amerikaanse bedrijven vaak niet goed geregistreerd waren — links leken actief, maar de daadwerkelijke verificatie mislukte.

De situatie was als volgt:

• Zichtbaar in mijn Apple-account ✓
• Zichtbaar op het D&B dashboard van de uitgevende entiteit ✓
• Maar openbare verificatielinks voor derden waren dood of instabiel ✗

Als het nummer bestaat maar niet publiekelijk geverifieerd kan worden, wat is het dan waard?

7. De laatste verificatieroute vinden en het certificaat ontvangen

Ik ontdekte later dat sinds eind december van het voorgaande jaar een meningsverschil tussen Europees datadelenbeleid en Amerikaanse operaties veel openbare D&B opzoeklinks had geblokkeerd — zelfs als de links actief leken.

Ik heb drie dagen gecommuniceerd met SSL support, elke mogelijkheid uitprobeerde, tot we samen een verificatieroute vonden die nog werkte. Bepaalde handelsgerelateerde bedrijfsverificatiepaden ondersteunden nog steeds D-U-N-S-gebaseerde queries, en dat was de laatste draad die ik vastpakte.

• Dun & Bradstreet Support / Case indienen

Na drie dagen communicatie met SSL support ontving ik eindelijk het certificaat en kon ik Cloud eSigner instellen. Met hulp van Codex.

Voor wie werkt deze aanpak het best?

Deze gids is vooral relevant als u:

• Al een Apple Developer-lidmaatschap heeft en de Mac-distributie grotendeels geregeld is
• Een solo-ontwikkelaar of klein team bent dat een Windows-installer moet uitleveren
• Reseller-tarieven te hoog vindt en rechtstreeks wilt aanvragen
• Het ondertekeningsproces wilt automatiseren in uw CI/CD-pipeline

Anderzijds, als uw bedrijfsstructuur complex is of de verificatievereisten per land vaak veranderen, kan het sneller zijn om direct de officiële support te benaderen.

Belangrijkste conclusie

Als ik dit hele traject in één zin zou moeten samenvatten:

Het moeilijkste aan Windows OV code signing was niet beslissen waar het certificaat te kopen — maar uitzoeken hoe bedrijfsverificatie en D-U-N-S zo goedkoop en efficiënt mogelijk te doorlopen.

De volgorde die ik daadwerkelijk volgde:

1. Eerst de Mac-kant regelen met Apple Developer.
2. Voor Windows niet naar de reseller, maar directe aankoopopties bekijken.
3. De combinatie SSL.com directe aankoop + Cloud eSigner evalueren.
4. De Apple Developer-route gebruiken om D-U-N-S aan te vragen.
5. Indien nodig het D&B supportkanaal raadplegen voor de finale verificatie.

Snelle referentielinks

Veelgestelde vragen

Moet ik een Windows OV code signing certificaat via een reseller kopen?

Op basis van mijn persoonlijke ervaring niet per se. Maar omdat verificatie- en uitgiftebeleid kan veranderen, controleer altijd de officiële pagina vlak voor betaling.

Kan ik gratis D-U-N-S krijgen met een Apple Developer account?

De route die ik gebruikte is het aanvragen als bestaand Apple Developer-lid voor bedrijfsverificatie in het kader van app-commercialisering. Dit geldt niet automatisch in alle gevallen — raadpleeg de richtlijnen van Apple en D&B voordat u begint.