certificate code-signing firewall antivirus code-signing-certificate

certificate - ¿Ventajas con los certificados EV de firma de código que no sean Smartscreen?



code-signing firewall (1)

Tengo que comprar un certificado de firma de código, para firmar las aplicaciones Win32, y estaba considerando si elegir uno EV.

Las ventajas de los certificados EV que pude encontrar son:

  1. Establecimiento de la reputación inmediata de Smartscreen (en lugar de esperar por 3k descargas? [source] )

  2. Mantenimiento de la reputación de Smartscreen en las renovaciones de certificados [source] (probablemente sea un punto discutible si el punto 1 se aplica de todos modos)

  3. Opción para la entrega en un token de hardware, a menudo no disponible para certificados normales

Me pregunto si aportan otras ventajas, por ejemplo, si las aplicaciones firmadas con ellos son más confiables que las aplicaciones firmadas con certificados no EV por antivirus, firewalls y otras aplicaciones de seguridad (se bloquean menos, provocan advertencias más favorables, etc.).

Reitero el caso en el que estoy más interesado: ¿conoce las diferencias en el tratamiento de algunas aplicaciones específicas de antivirus / firewall / seguridad de aplicaciones firmadas con certificados EV, en comparación con aplicaciones firmadas con certificados estándar?

Divulgación: trabajo para un vendedor de AV.

Me pregunto si aportan otras ventajas, por ejemplo, si las aplicaciones firmadas con ellos son más confiables que las aplicaciones firmadas con certificados que no son de EV por antivirus, firewalls y otras aplicaciones de seguridad.

Esto depende del proveedor que realiza la aplicación de seguridad o de su política actual (*). Los dos proveedores de seguridad para los que he trabajado ignoraron la presencia del certificado al buscar malware. Hay varias razones para esto:

  • El hecho de que el código esté firmado no significa que no sea malicioso. Solo significa que no se ha modificado después de que se haya firmado. Por ejemplo, se firma un número relativamente grande de aplicaciones de adware.

  • Las escrituras de malware han usado certificados robados en el pasado y, por lo tanto, no podemos estar realmente seguros de que fue utilizado por el autor original. Es por esto que mencioné la "política actual" más arriba, ya que esto podría cambiar de la noche a la mañana.

  • La verificación de un certificado es un proceso complejo y relativamente lento que requiere leer todo el archivo del disco, una operación costosa para un almacenamiento que no sea SSD. También requiere realizar algunas operaciones de criptografía de clave pública que requieren un uso intensivo de la CPU. Por lo tanto, para algunos archivos ejecutables grandes, verificar el certificado puede llevar más tiempo que escanear el archivo en busca de malware.

Y como generalmente no miramos el certificado, no importa si es estándar o EV.