问题标签 [ev-certificate]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
164 浏览

certificate - 签署申请有什么好处吗?

我最近考虑签署我的申请。EV 的价格至少为每年 100 欧元/美元(任何低于 EV 的东西似乎都毫无意义)。

我的应用程序使用不需要管理员密码的基本安装程序(自解压 WinRar)。但这样做的缺点是我无法在 Program Files 中安装该应用程序。

这里的实际问题是,您会发现很多资源告诉您如何签署您的应用程序,但没有那么多(根本)告诉您是否有任何真正的优势。例如:普通PC用户在安装应用程序和Windows显示“发布者:未知”时是否关心,或者他们只是快速点击确定按钮以尽快完成安装过程?老实说,我不认为用户阅读和关心“未知”。这可能会阻止他实际上是黄色(而不是蓝色)。 在此处输入图像描述 在此处输入图像描述

所以,对于那些已经为他们的应用程序进行代码签名的人,我的问题是:在你的应用程序签名后,你是否看到了改进(下载、安装、销售)?
我应该为此投入任何时间/金钱/精力吗?

更新:似乎让应用程序签名是不够的。之后,您必须继续努力提高您的声誉因素,否则,Microsoft SmartScreen 可能会弹出:https ://mkaz.blog/code/code-signing-a-windows-application/


对于那些对价格感兴趣的人,这里有一些按价格排序的随机报价。我还将发布所需的文件: 签署 Windows EXE 文件


0 投票
0 回答
191 浏览

code-signing - 代码签名 EV 证书仅对 SmartScreen 有帮助,对 Windows Defender 没有任何作用

我们的组织最近获得了一个EV code signing certificate. 它确实给了我们即时SmartScreen的信任,但仍有两件事发生:

  1. 一个小烦恼是Chrome,它向最初的几个下载者发出了警告file.exe is not commonly downloaded and may be dangerous,但它在一天之内就消失了,我们没有做任何事情。

  2. 一个更大的问题是Windows Defender。这是它的作用:

当我们的用户安装程序时,它会标记并锁定所需的关键组件。大多数用户都会遇到这种情况。

我们在上传之前在本地扫描了程序组件,没有发现任何问题。我们Virus & threat protection是最新的。当我们从网站下载相同的文件并像普通用户一样安装它时,我们也不会触发防病毒保护。为什么它的行为如此不一致,以至于当我们在内部 PC 上从 Internet 下载文件时它不会标记文件,但大多数外部用户都会发生这种情况?

到目前为止,我们一直在收集用户的这些通用威胁名称和文件名,并将其提交给 Microsoft 进行分析: https ://www.microsoft.com/en-us/wdsi/filesubmission这些文件在一天之内,但不好的是它们似乎只针对检测到的威胁名称更新其防病毒定义,而不是将整个文件标记为无害。这个问题变得更加令人沮丧,因为我们经常更新我们的安装程序,因为程序正在积极开发中。

我还担心这些带有 MS 威胁定义的更新没有足够快地正确地传播给世界各地的 Windows 用户。如果用户不更新他们的定义或将其关闭,会发生什么?

有什么我们还没有做,但可以做些什么来减少这些误报的问题?

EV 代码签名证书由 DigiCert 颁发,非常昂贵。在 MS 多次扫描签名文件并提高我们证书的信任分数后,这些问题会消失吗?我的意思是,它会减少尚未提交分析的未来构建的误报吗?

0 投票
2 回答
399 浏览

certificate - 是否可以在云端拥有应用程序 EV 代码签名证书?

我的团队使用证书来签署我们的 Windows 应用程序。不幸的是,证书即将到期,我们需要一个新的。我们希望避免在安装使用新证书签名的应用程序时弹出 SmartScreen,我正在阅读 EV 证书带有内置声誉。微软提供了一份销售代码签名证书的机构列表,但据我了解,所有这些都将是开发人员必须在家中保留的物理设备。我们不希望那样。是否有可能在云上拥有我们都可以使用的东西?

0 投票
0 回答
12 浏览

google-cloud-platform - EV 证书 + 谷歌云 HSM

作为自动化构建过程的一部分,我们目前正在尝试将我们的 EV Cert 放到 Google Cloud HSM 上。我们的证书提供者是 dijicert。我们与他们的技术支持代表进行了多次对话,但我们不断得到相互矛盾的答案。现在我们遇到的主要问题是生成一个通过他们的网站验证过程的 CSR。

是否有人能够使用 EV 证书和 Google Cloud HSM 作为其自动化 Windows 代码签名过程的一部分?