web-dev-qa-db-ja.com

Microsoft SmartScreenレピュテーションを更新された証明書に転送する

新しいコード署名証明書で署名されたソフトウェアでさえ、Microsoft Defender SmartScreen警告をトリガーすることを知っています。

Windows Defender SmartScreenは、認識されないアプリの起動を防止しました

警告は、証明書が評判を構築した後にのみ消えます:
実行可能ファイルに署名したにもかかわらず、Smart-Screenフィルターがまだ文句を言うのはなぜですか?


しかし、私たちは何年もの間DigiCertコード署名証明書でソフトウェア( WinSCP )に署名しています。これはプレーンな証明書であり、Extended Validation(EV)はありません。

証明書の有効期限が近づいているため、更新しました。しかし、renewed証明書で署名されたソフトウェアは、SmartScreen警告をトリガーします。

それは予想されますか?レピュテーションは本当に更新された証明書に転送されませんか?そうでない場合、評判を再構築するには何が必要ですか?私たちのソフトウェアの新しいバージョン(更新された証明書で署名)はすでに数日間公開されており、何万ものインストールがありますが、それでも警告が表示されます。または、評判を何らかの形で移すのを助ける方法はありますか?

8
Martin Prikryl

@ JozefIzsoによるコメント を補完するために:バイナリは約1か月後に信頼されるようになりました。その後のリリースは約10日後にのみ信頼されるようになりましたが、3番目のリリースは数週間信頼されなくなりました。

今日は標準のコード署名証明書を使用できるようには見えません。あきらめてEV証明書に行ってきました。

1
Martin Prikryl

あなたが理解したように、それを転送することはできず、EVを使用せずに行き詰まっています。新しい証明書を取得したため、ソフトウェアが安全であると確認されるまでに時間がかかりました。私が今起こっていると思うのは、署名証明書がまだ比較的新しいと見なされており、評判を築く必要があるということです。

これをスピードアップする唯一の確実な方法は、EV証明書を取得することです。ただし、ここに新しいリリースを送信することで、 https://www.Microsoft.com/en-us/wdsi/filesubmission 評判を高めることができます。このブログにはいくつかの興味深い統計があり、いくつかの潜在的なパターンが見つかりました: https://www.coretechnologies.com/blog/windows/Microsoft-smartscreen-filter/

これを回避する1つの潜在的な方法は、少なくとも比較的最近では、非常にまれにコードを変更するインストーラーを用意することでした。次に、このコードはプログラムをバックグラウンドでダウンロードし、これは多くの場合機能します。残念ながら、これはWinSCPでは機能しないと思います(これは非常に便利な機能ですが、うまくいきます!)。

1
LTPCGO

WinSCP 5.17は、2023年2月まで有効なDigiCert EVコード署名証明書で署名されるようになりました。これは、「Windows Defender SmartScreenが認識されないアプリの起動を妨げた」という警告がなくなることを意味します。これで問題は解決しました。

0
Petr