Здравствуйте!

Получили сертификат CodeSign EV от GlobalSign с целью обойти появление SmartScreen.
Подписали файл, но после загрузки-запуска SmartScreen появляется.

Подписывали так:
signtool.exe sign /a /fd sha256 /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 FileName.exe

и так:
signtool.exe sign /a /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 FileName.exe

Подскажите, пожалуйста, как нужно правильно подписывать файл, чтобы не появлялся SmartScreen.

Заранее огромное спасибо!

Здравствуйте, AntonVinnik, Вы писали:

AV>Подскажите, пожалуйста, как нужно правильно подписывать файл, чтобы не появлялся SmartScreen.

Требуется некоторое время, чтобы сертификат набрал первичный рейтинг доверия (несколько сотен инсталляций примерно)

Здравствуйте, Ivanoff, Вы писали:

I>Требуется некоторое время, чтобы сертификат набрал первичный рейтинг доверия (несколько сотен инсталляций примерно)

GlobalSign утверждает обратное: https://www.globalsign.com/en/code-signing-certificate/
DigiCert тоже: https://www.digicert.com/code-signing/ev-code-signing.htm

И вот собственно от Microsoft: https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certificates/

Programs signed by an EV code signing certificate can immediately establish reputation
with SmartScreen reputation services even if no prior reputation exists for that
file or publisher. Other factors are considered when generating reputation and determining
product experiences and EV-signed programs will be closely monitored over time.
We think the improvements in the vetting and security of these certificates are
a great development for both users and developers.

Здравствуйте, AntonVinnik, Вы писали:

AV>И вот собственно от Microsoft: https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certificates/

AV>Programs signed by an EV code signing certificate can immediately establish reputation
AV>with SmartScreen reputation services even if no prior reputation exists for that
AV>file or publisher. Other factors are considered when generating reputation and determining
AV>product experiences and EV-signed programs will be closely monitored over time.
AV>We think the improvements in the vetting and security of these certificates are
AV>a great development for both users and developers.

"Other factors", "prior reputation"... Судя по данному тексту, EV решает, но не все.
Возможно, данный файл (точнее, та его часть, которая не включает цифровую подпись)
раньше был классифицирован SmartScreen как неизвестный и это сыграло роль.
Возможно, что-то еще. Надо пробовать на девственно чистой сборке программы,
которая до этого в паблике не была.

AV>Подписывали так:
AV>signtool.exe sign /a /fd sha256 /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 FileName.exe
AV>
AV>и так:
AV>signtool.exe sign /a /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 FileName.exe

Способ с /fd более точный.
У нас сертификат GlobalSign (EV), подписываем так:

signtool.exe sign ... /fd SHA256 /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 FileName

Здравствуйте, AntonVinnik, Вы писали:


AV>Заранее огромное спасибо!
У нас сертификат для подписи кода набрал репутацию и на новые версии не ругается. Возможно EV не нужен.

Здравствуйте, AntonVinnik, Вы писали:

AV>И вот собственно от Microsoft: https://blogs.msdn.microsoft.com/ie/2012/08/14/microsoft-smartscreen-extended-validation-ev-code-signing-certificates/

"can immediately establish" != "immediately establish".

Впрочем, я готов согласиться, если у Вас есть другое разумное объяснение происходящему.