将Microsoft SmartScreen声誉转换为更新的证书

Question

我知道，即使是使用新代码签名证书签名的软件也会触发Microsoft警告：

Windows阻止未识别的应用程序启动

只有在证书建立了声誉之后，警告才会消失：

智能屏幕过滤器仍然在抱怨，尽管我签了可执行文件，为什么？

但是我们的软件(WinSCP)已经用DigiCert代码签名证书了很多年了。这是一个普通的证书，没有扩展的验证(EV)。

由于我们的证书即将到期，我们已将其更新。但是现在，用更新的证书签名，我们的软件触发了SmartScreen警告。

这是意料之中吗？这个名誉真的没有转移到更新的证书上吗？如果不是，那又需要什么才能建立起声誉呢？我们软件的新(beta)版本(用更新的证书签名)已经发布了几天，它已经安装了数万个，但是它仍然触发了警告。还是有办法帮助名誉转移？

我们已经尝试过将恶意软件分析的文件提交给微软了。虽然二进制文件通过了测试，但它对SmartScreen检查没有明显的影响。

Answer 1

作为对@JozefIzso的评论的补充:二进制文件在大约一个月后就被信任了。虽然更多的版本在大约10天后就变得可信了，但是第三次发布在几周后就不再被信任了。

它看起来不像现在可以使用的标准代码签名证书。我们放弃了，去申请电动汽车证书。

Answer 2

正如你已经发现的，你不能转移它，而且你被困在不用EV的情况下。因为您已经获得了一个新的证书，所以您的软件需要一段时间才能被验证为安全。我认为现在正在发生的是，您的签名认证仍然被视为相对较新的，需要建立声誉，但由于以前的软件发布都是好的，我希望这次建立声誉会更快。

加快速度的唯一明确方法是获得EV证书。但是，通过在这里提交新版本：https://www.microsoft.com/en-us/wdsi/filesubmission，您可能会提高声誉。这个博客有一些有趣的统计数据，并发现了一些潜在的模式：https://www.coretechnologies.com/blog/windows/microsoft-smartscreen-filter/

解决这一问题的一种可能方法，至少最近，是拥有一个很少更改代码的安装程序。然后，这段代码在后台下载程序，这通常是可行的。不幸的是，我不认为这对WinSCP是有效的(这是非常有用的，保持好的工作！)

Answer 3

这是微软在2020年收到的一个答案:似乎最重要的建议是在preivous到期之前获得新的代码签名证书。所以新来的人有时间赢得声誉。上一次我在30天内获得了新的证书以获得声誉。

为了给您提供一些额外的背景，当证书被更新时，或者如果使用新的证书对文件进行签名，就需要建立新的信誉。上一证书的信誉是将信誉附加到较新证书的重要因素之一。通常，更新的证书比全新的证书(例如来自不同CA的证书或使用不同的组织细节(公司名称等)的证书)更快地建立声誉。为了将来的参考，以下是一些帮助建立新证书或续签证书声誉的建议：·当使用新证书(甚至更新证书)时，使用相同的信息(姓名、电子邮件联系地址等)。它用于旧的、已建立的证书·使用新证书对已建立的应用程序进行签名。用已建立的证书签署新应用程序。确保使用新证书签署的应用程序是可访问的(例如，不要停留在intranet上)。请不要创建许多用于签署应用程序的证书。使用有限数量的证书，并确保与其签名的应用程序不会受到损害。考虑提前更新证书，并在现有证书到期之前用它签署几个应用程序