windows code-signing-certificate authenticode

windows - Certificado de firma de código EV o certificados de firma de código para Microsoft Authenticode



code-signing-certificate (4)

Acabo de escribir un par de posts en este tema. Las siguientes tres capturas de pantalla son ilustrativas de la progresión desde el certificado autenticodo sin firmar hasta el certificado autenticodo EV:

Sin firma digital

Firmado con el certificado Authenticode estándar de DigiCert

Firmado con el certificado Authenticode EV de DigiCert

Entonces, a menos que pueda acumular cualquier volumen crítico de usuarios que Microsoft considere que significa que su programa se descarga comúnmente, un certificado EV es la forma más rápida de eliminar las advertencias de SmartScreen para todos los usuarios. Por lo que vale la pena, el token de hardware de DigiCert fue muy fácil de usar a través del Administrador de certificados de Windows, pero los $ 450 que nos costó son bastante caros, especialmente para un pasatiempo.

Certificado de firma de código EV o certificados de firma de código para Microsoft Authenticode

Desarrollé una aplicación de finanzas personales gratuita. Es un pasatiempo para mi. Lo tengo en mi sitio web para descargar. http://moneyble.com/download/

Con frecuencia (una vez al mes) publico una nueva versión. Así que el hash del archivo cambia.

Cuando el archivo se descarga de mi sitio web, el navegador muestra una advertencia de que el archivo no se descarga comúnmente y puede ser peligroso. También en las máquinas con Windows 8 aparece la advertencia SmartScreen.

Estas dos advertencias están matando a cualquier nuevo usuario que intente descargar mi software.

Leí algunos artículos sobre la firma de código y me di cuenta de que tengo que comprar un certificado de firma de código. Parece estúpido pagarle a Microsoft el derecho a lanzar mi propio software. Como si fueran dueños de internet. Pero de todos modos ... establecen las reglas.

Pregunta:

¿Debo gastar $ 500 en el certificado de firma de código EV?

o

¿Puedo comprar un Certificado de Autenticodo de Microsoft mucho más barato ($ 100 - $ 200) y aún deshacerme de ambas advertencias (Descargar y SuckScreen)?

Mi exe-s actualmente no tiene reputación con MS. Actualizo exe-s con frecuencia. La base de usuarios está creciendo lentamente desde 0.

¿Alguien tiene experiencia similar en la vida real?

Todavía no sé cómo firmar un paquete zip. También proporciono una instalación portátil de mi programa. Si descarga un paquete zip portátil en Google Chrome, se muestra un mensaje desagradable "Moneyble.zip no se descarga comúnmente y podría ser peligroso". Exe dentro de ese paquete está firmado. Pero no ayuda. IE no tiene este problema. Es solo un problema de Google Chrome.

Si alguien tiene sugerencias sobre cómo distribuir instalaciones portátiles, realmente lo agradecería.

Si desea consultar las advertencias, descargue uno de los instaladores desde: http://moneyble.com/download/


El certificado de firma de código EV está especialmente diseñado para ganar confianza instantánea en Microsoft SmartScreen. La firma de código EV estableció la reputación de la aplicación instantánea con SmartScreen, eliminando de manera efectiva las advertencias del navegador que causan descargas.

Revisa este blog para saber más sobre la firma de código EV.


Las autoridades de certificación solo emiten un Certificado de Validación Extendida al desarrollador a condición de que la solicitud sea en nombre de una organización reconocida para la cual el desarrollador está proporcionando un servicio pagado.

Los desarrolladores pueden solicitar certificados de firma de código que no sean EV para su propio uso.

Para obtener más información, prueba este enlace:

https://cabforum.org/audit-criteria/


Los certificados EV más baratos (creo que el más barato son Commodo''s $ 319 por año de Commodo''s ). El certificado de firma de código EV no omitirá todas las advertencias, ya que son el resultado de otros factores, como la cantidad de personas que han descargado su software, pero le brindarán las advertencias mínimas cuando alguien descargue su software. Así que me gustaría ir con la opción EV. También escribí un article sobre cómo usarlo mediante programación.