31

我开发了一个免费的个人理财应用程序。这对我来说是一种爱好。我在我的网站上有可以下载的。http://moneyble.com/download/

我经常(大约一个月一次)发布一个新版本。所以文件的哈希值改变了。

当从我的网站下载文件时,浏览器会显示一个警告,指出该文件不常被下载并且可能很危险。在 Windows 8 机器上也会弹出 SmartScreen 警告。

这两个警告都会杀死任何尝试下载我的软件的新用户。

我阅读了一些关于代码签名的文章,并意识到我必须购买代码签名证书。向微软支付我发布自己软件的权利听起来很愚蠢。就像他们拥有互联网一样。但无论如何……他们制定了规则。

问题:

我应该花 500 美元购买 EV 代码签名证书吗?

或者

我可以购买便宜得多(100 美元到 200 美元)的 Microsoft Authenticode 证书,并且仍然可以摆脱两个警告(下载和 SuckScreen)吗?

我的 exe-s 目前在 MS 中没有任何声誉。我经常更新 exe-s。用户群从 0 开始缓慢增长。

有没有人在现实生活中有过类似的经历?

仍然不知道如何签署一个压缩包。我还提供了我的程序的可移植安装。如果您在 Google Chrome 上下载便携式 zip 包 - 它会显示一条令人讨厌的消息“Moneyble.zip 不经常下载并且可能很危险”。该软件包中的 Exe 已签名。但这无济于事。IE没有这个问题。这只是谷歌浏览器的问题。

如果有人对如何分发便携式装置有建议-我将不胜感激。

如果您想查看警告,请从以下网址下载安装程序之一:http: //moneyble.com/download/

4

3 回答 3

36

我刚刚写了几篇关于这个主题的博客 文章。以下三个屏幕截图说明了从未签名到标准 Authenticode 证书到 EV Authenticode 证书的进展:

没有数字签名 在此处输入图像描述

使用来自 DigiCert 的标准 Authenticode 证书签名 在此处输入图像描述

使用来自 DigiCert 的 EV Authenticode 证书签名 在此处输入图像描述

因此,除非您可以积累微软认为意味着您的程序通常被下载的任何关键用户量,否则 EV 证书是为所有用户删除 SmartScreen 警告的最快方法。就其价值而言,DigiCert 硬件令牌通过 Windows 证书管理器非常易于使用,但它花费我们的 450 美元无疑是相当昂贵的,尤其是对于爱好而言。

于 2014-06-27T08:05:18.290 回答
1

付费的目的并不愚蠢,因为它服务于整个社区。证书是一种确保您是您所说的人的方式。EV 证书需要更彻底的验证。

更便宜的 EV 证书(我认为最便宜的是Commodo每年 319 美元)。EV 代码签名证书不会忽略所有警告,因为它们是其他因素的结果,例如有多少人下载了您的软件,但是当有人下载​​您的软件时,它会为您提供最少的警告。所以我会选择EV选项。我还写了一篇关于如何以编程方式使用它的文章。

于 2018-12-15T15:02:15.080 回答
1

证书颁发机构仅在请求代表开发人员为其提供付费服务的公认组织的情况下向开发人员颁发扩展验证证书。

开发者可以申请非EV代码签名证书供自己使用。

要了解更多信息,请尝试以下链接:

https://cabforum.org/audit-criteria/

于 2017-06-23T10:22:36.790 回答