我知道即使是使用新代码签名证书签名的软件也会触发 Microsoft Defender SmartScreen 警告:
Windows Defender SmartScreen 阻止了无法识别的应用程序启动
只有在证书建立声誉后警告才会消失:
尽管我签署了可执行文件,但智能屏幕过滤器仍然抱怨,为什么?
但是我们多年来一直使用 DigiCert 代码签名证书对我们的软件 ( WinSCP ) 进行签名。它是一个普通证书,没有扩展验证 (EV)。
由于我们的证书即将到期,我们已对其进行了更新。但是现在,使用更新的证书签名后,我们的软件会触发 SmartScreen 警告。
这是预期的吗?名誉真的没有转移到更新的证书上吗?如果没有,如何再次建立声誉?我们软件的新(测试版)版本(使用更新的证书签名)已经发布了几天,它已经安装了数万次,但它仍然会触发警告。或者有没有办法帮助声誉以某种方式转移?
我们已尝试将文件提交给 Microsoft 以进行恶意软件分析。虽然二进制文件通过了测试,但它对 SmartScreen 检查没有明显影响。
补充@JozefIzso 的评论:大约一个月后,二进制文件变得受信任。虽然下一个版本仅在大约 10 天后变得受信任,但第三个版本在数周后才再次变得受信任。
它看起来不像现在可以使用标准的代码签名证书。我们放弃了,去了EV证书。
正如您所发现的,您无法转移它,并且您在不使用 EV 的情况下被卡住了。因为您获得了新证书,所以需要一些时间才能验证您的软件是否安全。我认为现在发生的情况是,您的签名认证仍然被视为相对较新,需要建立声誉,但由于之前的软件版本一切正常,我希望这次建立声誉更快。
加快这一进程的唯一明确方法是获得 EV 证书。但是,通过在此处提交新版本:https : //www.microsoft.com/en-us/wdsi/filesubmission您可以提高声誉。这个博客有一些有趣的统计数据并发现了一些潜在的模式:https : //www.coretechnologies.com/blog/windows/microsoft-smartscreen-filter/
解决这个问题的一种潜在方法,至少在最近,是有一个很少更改代码的安装程序。然后此代码在后台下载程序,这通常会起作用。不幸的是,我认为这对 WinSCP 不起作用(顺便说一句,这非常有用,继续努力!)。
这是微软在 2020 年收到的回答:似乎最重要的建议是在之前的过期之前获得新的代码签名证书。因此,新人有时间获得声誉。上次我获得新证书以在大约 30 天内获得声誉。
为了给您一些额外的背景知识,当证书更新时,或者如果新证书用于签署文件,则需要建立新的声誉。旧证书的信誉是新证书附加信誉的重要因素之一。通常,更新的证书将比全新的证书更快地建立声誉,例如来自不同 CA 的证书或使用不同组织详细信息(公司名称等)的证书。为了将来参考,这里有一些建议可以帮助建立新证书或更新证书的声誉:
· 使用新证书(甚至更新证书)时,使用与旧证书相同的信息(姓名、电子邮件联系地址等)
· 使用新证书签署已建立的应用程序
· 使用已建立的证书签署新的应用程序
· 确保使用新证书签名的应用程序可以访问(例如,而不是保留在 Intranet 上)
· 不要为签署应用程序创建许多不同的证书。使用有限数量的证书,并确保使用它们签名的应用程序不易受到攻击
· 考虑提前更新证书,并在现有证书过期之前用它签署一些应用程序