EV Code Signing — מדריך לפלאגין Vitruvius

למה זה חובה, מה זה עולה, ולמה ה-CA שואלת על חברה בע"מ
סשן 0019 · Action E
1הבעיה שאנחנו פותרים

הדיאלוג שמבריח לקוחות

בכל פעם שאדריכל מתקין את Vitruvius (או טוען build חדש), Revit מציג דיאלוג מאיים:

"Security – Unsigned Add-In · The publisher of this add-in could not be verified · Make sure that this add-in comes from a trusted source"

זה לא מצב טכני שניתן להעלים בקוד — זה החלטה של Autodesk. הדרך היחידה לסלק את הדיאלוג הזה היא חתימה דיגיטלית EV של ה-DLL.

בנוסף, ב-Windows כל הורדה ראשונה של ה-installer תקפוץ עם SmartScreen warning ("Windows protected your PC") שגם הוא דורש EV כדי להיעלם מיד.

למה זה חוסם מכירות

  • אדריכל שמתקין כלי חדש מגרסה לא ידועה ורואה "Unknown Publisher" → רוב הסיכויים שייסוג.
  • אדריכל שכן מתקין → רואה את הדיאלוג בכל update → מאבד אמון בקצב הפיתוח.
  • מנהל IT במשרד אדריכלות גדול → לעולם לא יאשר התקנה של "Unknown Publisher" על תחנת עבודה של עובד.
  • אומדן השפעה: ~80% drop בהתקנה מוצלחת מ-trial → paid, בלי חתימה.
2מה זה Code Signing בכלל?

אנלוגיה: חתימת קוד = חותמת נוטריון על קובץ .dll או .exe. החותמת אומרת שני דברים:

  1. זהות החותם: "הקובץ הזה נחתם על ידי Vitruvius Ecosystem Ltd." (השם יוצג כך בכל דיאלוג).
  2. שלמות הקובץ: "מאז שנחתם, אף אחד לא שינה אפילו בית אחד בקובץ." (אם מישהו ערך — החתימה נשברת והקובץ נחשב לפגום.)

החותם הוא Certificate Authority (CA) — חברה בינלאומית שמאשרת זהויות (Sectigo, DigiCert, GlobalSign). מערכת ההפעלה (Windows) ו-Revit סומכים על רשימה קצרה של CAs מהימנות שמוטמעת אצלם מהיצרן.

החתימה עצמה נעשית פעם אחת לכל build — אתה מריץ פקודה (signtool.exe) שלוקחת את ה-DLL ואת התעודה ומדפיסה חתימה דיגיטלית בתוך ה-DLL. החל מהרגע הזה, Windows ו-Revit "סומכים" על הקובץ.

3OV מול EV — ההבדל הקריטי

יש שתי רמות של תעודות חתימה. רק EV עושה את העבודה.

סוגמחיר/שנהמה זה משיג
OV
Organization Validation		 $80–150 מסיר את "Unknown Publisher" → מציג שם חברה. אבל דיאלוג "Unsigned Add-In" של Revit עדיין יקפוץ. ו-SmartScreen דורש חודשי "reputation building" (אלפי הורדות) לפני שייעלם.
EV
Extended Validation		 $300–700 מסיר לחלוטין את דיאלוג Revit ואת SmartScreen — מהחתימה הראשונה. זה הסטנדרט שכל פלאגין Revit מסחרי משתמש בו.

מסקנה: OV לא מתאים לפלאגין Revit מסחרי. החיסכון של $200/שנה לא שווה לאבד 80% מהמשתמשים. EV היא חובה.

4שני סוגי EV — Hardware Token או Cloud

EV מגיעה בשתי טכנולוגיות אחסון. בחירת הסוג היא טכנית-תפעולית, לא משפטית.

Hardware Token (USB)

~$300–400 / שנה
  • ה-CA שולח לך מקל USB פיזי (eToken / YubiKey).
  • כדי לחתום: מחבר את ה-USB, מקליד PIN, רץ פקודה.
  • חיסרון: לא מתאים ל-CI/CD אוטומטי (build server לא יכול להקליד PIN).
  • יתרון: זול יותר, פשוט, אין dependency על שירות ענני.

Cloud Signing

~$500–700 / שנה
  • החתימה רצה דרך API ענני של ה-CA (Sectigo eSigner, DigiCert KeyLocker).
  • אין USB. אפשר לחתום אוטומטית מ-GitHub Actions או build server.
  • חיסרון: יקר יותר, dependency על ה-API.
  • Azure Trusted Signing — אופציה זולה (~$10/חודש) אבל דורש חברה אמריקאית — לא רלוונטי לישראלי.

המלצה לשלב הנוכחי

Hardware Token. Vitruvius עדיין לא ב-CI/CD, ויש build אחד פעם בכמה ימים. ה-USB עם PIN לוקח 5 שניות לכל build. החיסכון של $200–400/שנה מבורך. נעבור ל-Cloud רק אם וכש-CI/CD יוקם.

5למה ה-CA מבקשת "חברה"?

השאלה שעלתה אצלך — והתשובה המעמיקה

שאלת: "על מה אני צריך לחתום משפטית?" התשובה: על שום דבר חוץ מ-DLL שאת/ה יוצר/ת. אין שום חבות משפטית של "החברה" כלפי משתמשים, כלפי Autodesk, או כלפי ה-CA. אז למה בכלל צריך חברה?

סיבה אחת בלבד: השם שיוצג בדיאלוג.

  • ה-CA חותם על תעודה שאומרת: "אני, Sectigo, מאשרת שהפלאגין הזה נחתם ע"י XYZ."
  • XYZ הוא השם שיראה כל משתמש בדיאלוג של Revit ובמסך SmartScreen של Windows.
  • אם XYZ = "Eliyash Lev" (שם פרטי) → משדר חובבני.
  • אם XYZ = "Vitruvius Ecosystem Ltd." → משדר עסק רציני.

ה-CA דורשת תעודת התאגדות רק כדי לאמת שהשם המסחרי באמת קיים — שלא תוכל לחתום בשם "Microsoft Corporation" או "Autodesk Inc.". זה אימות זהות, לא חוזה משפטי.

שלוש האופציות שלך

  1. א. חברה בע"מ — "Vitruvius Ecosystem Ltd." הקמה חד-פעמית ~₪3,000 (עו"ד או דרך רשם החברות online). אגרה שנתית ~₪1,500. רואה חשבון שנה ראשונה ~₪2,000. חבות מס נפרדת מהמשכורת שלך. השם שיוצג למשתמש: "Vitruvius Ecosystem Ltd." — מקצועי, רציני. מתאים אם בכוונתך לגדול / לקבל משקיעים / למכור את החברה (exit).
  2. ב. עוסק מורשה (Sole Proprietor) הקמה חינמית ברשות המסים. אבל ה-CA תדרוש את השם הפרטי המלא שלך בתעודה ("Eliyash Lev" או דומה) — לא "Vitruvius". המשמעות: בדיאלוג של Revit יראו את שמך הפרטי כ-Publisher, וזה משדר חובבני למשרדי אדריכלות. רוב יצרני התוכנה לא הולכים בדרך הזו.
  3. ג. לא לחתום עדיין להישאר עם "Unsigned Add-In" עד שיש PMF ולקוחות משלמים. סיכון: כל משתמש בתחילת הדרך רואה את הדיאלוג ומהסס; הרבה ייסוגו. אפשר להריץ בטא חינמית unsigned, אבל לא להתחיל לגבות כסף בלי חתימה.
6ההמלצה הפרקטית + Lead Time

אם בוחרים אופציה א' (חברה בע"מ)

לוח זמנים מצטבר — 5–6 שבועות מהיום ועד שיש לך תעודה ביד:

שלבמשךמה עושים
1. הקמת חברה1–2 שבועותרשם החברות (אונליין), פתיחת תיק במס הכנסה/מע"מ, חשבון בנק עסקי
2. איסוף מסמכים ל-CA1 שבועתעודת התאגדות, מכתב בנק, אימות טלפון רשום, אתר עם דומיין רשום על שם החברה
3. KYC ב-CA1–2 שבועותשיחת אימות וידאו, אישור מסמכים, משלוח USB token פיזי בדואר
סה"כ~5–6 שבועותנכון לתחילת היום הזה — אם יוצאים לדרך עכשיו

לכן ה-action הזה מועתק מ-M9 ל-M3/M4 בתכנית. אם תתחיל היום, ה-cert יגיע בערך כשתסיים את M4. אם תחכה — תתקע ב-M9 בלי יכולת לחתום.

תקציב שנה ראשונה

סעיףסכום
הקמת חברה בע"מ (חד-פעמי)~₪3,000
אגרת רשם החברות שנתית~₪1,500
רואה חשבון שנה ראשונה~₪2,000
תעודת EV (hardware token) שנה ראשונה~₪1,300 ($350)
סה"כ שנה ראשונה — קופה יוצאת~₪7,800

משנה שנייה ואילך: ~₪4,800/שנה (אגרה + רו"ח + cert renewal). פחות מ-₪400/חודש. גובים את זה מהרישיון של 14 לקוחות במסלול Standard (₪29/seat).

7שאלות שצריך לסגור עכשיו
שאלה 1 — להקים חברה בע"מ?
  • כן → ממליץ. תואם את חזון Vitruvius כעסק רציני. ה-lead-time מתחיל מהיום שתחתום עם עו"ד.
  • לעצור ולחשוב → לגיטימי. אבל זה דוחה את ההשקה המסחרית ב-2+ חודשים נוספים מהרגע שבו תחליט.
  • לא → אז אופציות: עוסק מורשה (חובבני בדיאלוג) או הישארות unsigned (חוסם מכירות).
שאלה 2 — איזה CA?
  • Sectigo — הזולה ביותר ($300–350 token, ~$500 cloud). KYC הכי מהיר. המלצה לשלב הנוכחי.
  • DigiCert — היקרה ($600+ cloud) אבל הכי מוכרת. שווה אם רוצים שהשם "DigiCert" יופיע בדיאלוג (UX זהה למשתמש, אבל DigiCert is sometimes seen as more premium).
  • GlobalSign — באמצע. אופציה לגיטימית, אבל אין סיבה מיוחדת לבחור אותה.
שאלה 3 — Hardware Token או Cloud?
  • Hardware Token — מומלץ לשלב הנוכחי (אין CI/CD). זול יותר ב-$200–400/שנה.
  • Cloud — נסבול את התוספת רק אם בונים CI/CD אוטומטי. לא הסיפור של 2026.

ההצעה הפרקטית שלי

  1. סשן 0019 (היום): סוגרים את ה-3 שאלות למעלה בשורה. החלטה: כן/לא לחברה. אם כן — איזה שם רשמי, איזה CA, איזה type.
  2. שבוע 1–2: אתה (פעולה ידנית) — הקמת חברה בע"מ ברשם החברות. פתיחת תיק במע"מ. חשבון בנק עסקי.
  3. שבוע 3: אתה — איסוף המסמכים ל-CA, פתיחת בקשה אונליין ב-Sectigo, תיאום שיחת KYC.
  4. שבוע 4–5: KYC, אישור, משלוח ה-USB token.
  5. שבוע 6: חתימה ראשונה של ה-DLL → אימות שהדיאלוג נעלם → סגירת action E ✓.