Столкнулся с ситуацией, что SmartScreen в Windows 10 показывает предупреждения на мой обновленный сертификат подписи кода. То ли из-за того, что Sectigo наконец разрешил поменять имя с ИП на DBA и у меня обнулилась репутация из-за этого, то ли просто новые правила, чтобы склонить вендоров к покупке EV сертификатов. Предыдущий сертификат был на 5 лет и такого не припомню.
На всякий случай добавил новый сертификат в свой вендорский аккаунт в партнерке Microsoft, но я так понимаю, что единственственный вариант — дождаться пока файл скачает достаточное количество пользователей.
Здравствуйте, Alexander Avdonin, Вы писали:
AA>А как вы боретесь с предупреждениями SmartScreen?
Я подумываю вообще отказаться от сертификата. Ниша узная, нет тыщ скачиваний и SmartScreen после каждого обновления сертификата подолгу меня не любит. Проще тогда сэкономить сотню баксов.
Здравствуйте, Kerk, Вы писали:
K>Я подумываю вообще отказаться от сертификата. Ниша узная, нет тыщ скачиваний и SmartScreen после каждого обновления сертификата подолгу меня не любит. Проще тогда сэкономить сотню баксов.
К сожалению, это не всегда возможно. Например, uiAccess=true требует подписи кода в обязательном порядке.
Ещё сейчас урезали максимальный срок сертификатов до 39 месяцев (3 года), хотя раньше можно было на 5 лет взять:
This was an industry-wide directive which affects all certificate authorities. In accordance with the CA/Browser Forum Baseline Requirements, effective March 1st 2018, Certificate Authorities (CAs) are no longer able to issue Code signing Certificates with a validity period longer than 39 months.
Здравствуйте, Alexander Avdonin, Вы писали:
AA>Всем привет!
AA>Столкнулся с ситуацией, что SmartScreen в Windows 10 показывает предупреждения на мой обновленный сертификат подписи кода. То ли из-за того, что Sectigo наконец разрешил поменять имя с ИП на DBA и у меня обнулилась репутация из-за этого, то ли просто новые правила, чтобы склонить вендоров к покупке EV сертификатов. Предыдущий сертификат был на 5 лет и такого не припомню.
Ну на новый так и бывает, вроде.
AA>А как вы боретесь с предупреждениями SmartScreen?
Никак, несколько десятков (сотен, тысяч) инсталляций и он замолчит.
Здравствуйте, Alexander Avdonin, Вы писали:
AA>А как вы боретесь с предупреждениями SmartScreen?
Было так — купили серт, появлялось это триклятое предупреждение. Нашел решение секретное — пока не знаю открывать или нет, ведь закроют. Типа дырка но все работает.
Пока доделывал прогу — через месяца 4, емнип, триклятое предупреждение исчезло само. Никто кроме узкого круга лиц прогу не скачивал, так что не зависит от кол-ва установок — просто нужно тупо подождать — само исчезнет.
Проблема знакомая и решение простое. У меня есть второй бесплатный продукт — утилита. Переподписываю его новым сертификатом и выкладываю на свой сайт. Через 2-3 недели сертификат прокачивается, предупреждение исчезает. И тогда уже начинаю подписывать основной продукт. По моим наблюдениям достаточно где 500-700 загрузок для прокачки сертификата. Чтобы все прошло гладко — заказываем новый сертификат за 2 месяца до истечения текущего.
Таким образом пользователи основного платного продукта никак не страдают, переход происходит идеально.
Здравствуйте, Alexander Avdonin, Вы писали:
AA>Всем привет!
AA>Столкнулся с ситуацией, что SmartScreen в Windows 10 показывает предупреждения на мой обновленный сертификат подписи кода. То ли из-за того, что Sectigo наконец разрешил поменять имя с ИП на DBA и у меня обнулилась репутация из-за этого, то ли просто новые правила, чтобы склонить вендоров к покупке EV сертификатов. Предыдущий сертификат был на 5 лет и такого не припомню.
AA>Кому не сложно, скачайте, пожалуйста, инсталлятор и кликните "Run anyway": AA>https://www.ntwind.com/download/WinSnap_5.2.3-setup.exe
AA>Предупреждения SmartScreen со скриншотами: AA>https://www.ntwind.com/blog/winsnap-v5.2.3-new-digital-signature.html
AA>На всякий случай добавил новый сертификат в свой вендорский аккаунт в партнерке Microsoft, но я так понимаю, что единственственный вариант — дождаться пока файл скачает достаточное количество пользователей.
AA>А как вы боретесь с предупреждениями SmartScreen?
Только что попробовал скачать — SmartScreen появился.
У меня раньше был сертификат от Verisign, и никаких проблем не было. Добавлял сертификат в вендорский аккаунт Microsoft и предупреждения не появлялось совсем.
Сейчас получил сертификат от Sectigo и добавление в вендорский аккаунт не помогло. Пол года он там пробыл и без результатов.
И выкладывание бесплатной подписанной программы не помогает. Через некоторое время для бесплатной программы исчезает SmartScreen, но после выкладывания платной версии для нее снова появляется SmartScreen.
Остается каждый раз только ждать. Уже отвечал на письма юзеров с вопросом "как мне запустить программу?".
Я думаю, что это началось после того, как сертификатом Sectigo наподписывали кучу адваре и прочей рухляди.
Здравствуйте, Shmj, Вы писали:
S>Пока доделывал прогу — через месяца 4, емнип, триклятое предупреждение исчезло само. Никто кроме узкого круга лиц прогу не скачивал, так что не зависит от кол-ва установок — просто нужно тупо подождать — само исчезнет.
Вот это интересный вопрос, что важнее время или количество закачек? Купить заранее и подписать непопулярный продукт или наоборот лучше популярный?
Здравствуйте, rp5, Вы писали:
rp5>У меня раньше был сертификат от Verisign, и никаких проблем не было. Добавлял сертификат в вендорский аккаунт Microsoft и предупреждения не появлялось совсем. rp5>Сейчас получил сертификат от Sectigo и добавление в вендорский аккаунт не помогло. Пол года он там пробыл и без результатов. rp5>И выкладывание бесплатной подписанной программы не помогает. Через некоторое время для бесплатной программы исчезает SmartScreen, но после выкладывания платной версии для нее снова появляется SmartScreen. rp5>Остается каждый раз только ждать. Уже отвечал на письма юзеров с вопросом "как мне запустить программу?". rp5>Я думаю, что это началось после того, как сертификатом Sectigo наподписывали кучу адваре и прочей рухляди.
AA>А как вы боретесь с предупреждениями SmartScreen?
Использую EV. Но как вариант, можно сделать даунлоадер который не меняется. Он будет выкачивать последнюю версию с вашего сайта и запускать ее установку.
Здравствуйте, Черный Властелин, Вы писали:
AA>>А как вы боретесь с предупреждениями SmartScreen?
ЧВ>Использую EV. Но как вариант, можно сделать даунлоадер который не меняется. Он будет выкачивать последнюю версию с вашего сайта и запускать ее установку.
Если он будет скачивать установщик, то предупреждение не будет появляться когда даунлоадер запустит установщик?
Здравствуйте, Alexander Avdonin, Вы писали:
AA>Всем привет!
AA>Столкнулся с ситуацией, что SmartScreen в Windows 10 показывает предупреждения на мой обновленный сертификат подписи кода. То ли из-за того, что Sectigo наконец разрешил поменять имя с ИП на DBA и у меня обнулилась репутация из-за этого, то ли просто новые правила, чтобы склонить вендоров к покупке EV сертификатов. Предыдущий сертификат был на 5 лет и такого не припомню.
AA>Кому не сложно, скачайте, пожалуйста, инсталлятор и кликните "Run anyway": AA>https://www.ntwind.com/download/WinSnap_5.2.3-setup.exe
Скачал на нескольких виртуалках, запустил. Пока ругается. Пройдет со временем.
Тулзу куплю скорее всего
Спасибо!
П.С. На вскидку:
-Нарисовал линию, по привычке жму Ctrl+Z (Undo), нету. В меню Edit тоже нет Undo. Потом смотрю, аааа, слои! Круто. Но Undo не помешает. Вот кропнул не так и всё переделывать...
-Было бы прикольно, если бы могла делать скриншот нескольких окон с прозрачностью вместо всего остального.
-Мне надо больше стрелочек всяких видов в библиотеке.
-Стрелка мыши на скринах есть, не всегда это нужно.
Здравствуйте, Aquilaware, Вы писали:
A>Здравствуйте, Alexander Avdonin, Вы писали:
AA>>Подожду еще неделю, но похоже, что придется покупать EV сертификат.
A>Не горячитесь. С вашим продуктом предупреждение исчезнет само через 3-4 дня.
Я тоже порекомендую не горячиться. Чисто интуитивно с каждым новым подписанным продуктом/релизом время проверки уменьшается. А для такого продукта как ваш ничего страшного что 2 дня будут отсеиваться пользователи, которые не могут прочитать одно предложение и нажать ссылку "More info".
Да и как я понимаю вам будет очень сложно получить EV сертификат на DBA.
Здравствуйте, Aleksid1, Вы писали:
A>Проблема знакомая и решение простое. У меня есть второй бесплатный продукт — утилита. Переподписываю его новым сертификатом и выкладываю на свой сайт. Через 2-3 недели сертификат прокачивается, предупреждение исчезает. И тогда уже начинаю подписывать основной продукт. По моим наблюдениям достаточно где 500-700 загрузок для прокачки сертификата. Чтобы все прошло гладко — заказываем новый сертификат за 2 месяца до истечения текущего. A>Таким образом пользователи основного платного продукта никак не страдают, переход происходит идеально.
А не пробовали получать новый сертификат на старый ключ? Если MS делает систему по уму, то привязка должна идти не к сертификату, как таковому, а к публичному ключу и должно быть возможно получить новый сертификат сохранив ключ для подписи, если, конечно, удостоверяющий центр даёт такую возможность.
Здравствуйте, PPA, Вы писали:
PPA>А почему подпись только SHA1 и нет SHA256? PPA>или новый серт не дает подписать на 256?
Новым тоже можно подписать SHA256. Честно говоря, не делал этого раньше, т.к. не было необходимости. Хотя у меня половина софта требует uiAccess — проблем не было.
Только что попробовал — на предупреждение SmartScreen SHA256 не влияет. Возможно, влияет на репутацию файла, поэтому буду подписывать обоими.
Ещё пробовал подписывать старым и новым сертификатами одновременно, пока старый был активен, но эффекта это также не дало.
Здравствуйте, vsb, Вы писали:
vsb>А не пробовали получать новый сертификат на старый ключ? Если MS делает систему по уму, то привязка должна идти не к сертификату, как таковому, а к публичному ключу и должно быть возможно получить новый сертификат сохранив ключ для подписи, если, конечно, удостоверяющий центр даёт такую возможность.
Здравствуйте, bnk, Вы писали:
vsb>>А не пробовали получать новый сертификат на старый ключ? Если MS делает систему по уму, то привязка должна идти не к сертификату, как таковому, а к публичному ключу и должно быть возможно получить новый сертификат сохранив ключ для подписи, если, конечно, удостоверяющий центр даёт такую возможность.
bnk>Такое правда возможно, или придумываешь?
В TLS это возможно и этим часто пользуются. В подписях точно такие же X.509 сертификаты и алгоритмы используются. Т.е. весь вопрос в удостоверяющих центрах, как они работают, принимают ли CSR.
По личному опыту сейчас для Smart Screen нужен EVO сертификат.
У нас есть 2 сертификата. Обычный и EVO.
После того как обновили обычный сертификат даже через 3 месяца Smart Screen ругался при скачиваниях в десятки тысяч.
На EVO сертификат (малоиспользуемый) нет срабатывания Smart Screen.
Были проблемы с некоторыми "лающими собачками" на Virustotal.
Они решаются в отправке False positive репортов.
Сначала приходит ответ-отписка, но внизу страницы с ответом есть кнопка "File a dispute", где уже можно более подробно со ссылками на свой сайт изложить суть проблемы. Вот после этого через пару дней получил ответ на почту, что сертификату добавили репутации и предупреждения исчезли.
Вот ответ на английском:
Thank you for your interest in the Windows Defender SmartScreen® Application Reputation feature. We are glad to confirm that the signing certificate (thumbprint: 015674BC7D096B7CFCD5DC3149512496B94D1763) has since gained reputation. Now that your signing certificate has gained reputation in our system, all applications or releases signed with it should have warn-free experience (assuming nothing happens to denigrate the reputation of the certificate, such as being used to sign malware).
To give you some additional background, when a certificate is renewed, or if a new certificate is used to sign files, fresh reputation needs to be established. The reputation of the previous certificate is one of the important elements in attaching reputation to the newer certificate. Typically, a renewed certificate will establish reputation more quickly than a completely new certificate such as one from a different CA or one which uses different organization details (company name, etc.). For future reference, here are some suggestions to help establish reputation for a new or renewed certificate:
· When using a new certificate (or even renewing a cert), use the same information (Name, email contact address, etc.) that was used for an older, established certificate
· Use the new certificate to sign an already established application
· Sign a new application with an already established certificate
· Ensure that applications signed with the new certificate are accessible (rather than remaining on an intranet, for example)
· Do not create many different certificates for signing applications. Use a limited number of certificates, and ensure that applications that are signed with them are not vulnerable to compromise
· Consider renewing the certificate a little early and signing a few of your applications with it before your existing certificate expires
Несмотря на то, что они тут пишут, подпись старым и новым сертификатами одновременно на предупреждения не влияли. Как прокачать сертификат органически, тоже не понятно. Выше давал ссылку на пост автора WinSCP — количество закачек в публичном доступе, но ему это не помогло. Лучше сделали бы нормальный Windows Store, а не эти пляски с сертификатами.
