web-dev-qa-db-fra.com

Transfert de la réputation de Microsoft SmartScreen vers un certificat renouvelé

Je sais que même un logiciel signé avec un nouveau certificat de signature de code déclenche un avertissement Microsoft Defender SmartScreen:

Windows Defender SmartScreen a empêché le démarrage d'une application non reconnue

L'avertissement ne disparaît qu'après que le certificat s'est forgé une réputation:
Le filtre Smart-Screen se plaint toujours, malgré que j'ai signé l'exécutable, pourquoi?


Mais nous signons notre logiciel ( WinSCP ) avec le certificat de signature de code DigiCert depuis des années. Il s'agit d'un certificat simple, sans validation étendue (EV).

Notre certificat expirant bientôt, nous l'avons renouvelé. Mais maintenant, signé avec le certificat renouvelé , notre logiciel déclenche l'avertissement SmartScreen.

Est-ce attendu? La réputation n'est-elle vraiment pas transférée au certificat renouvelé? Sinon, que faut-il pour reconstruire la réputation? La nouvelle version de notre logiciel (signée avec le certificat renouvelé) est déjà sortie depuis quelques jours, et elle a des dizaines de milliers d'installations, mais elle déclenche toujours l'avertissement. Ou existe-t-il un moyen d'aider la réputation à se transférer d'une manière ou d'une autre?

8
Martin Prikryl

Pour compléter le commentaire de @JozefIzso : Le binaire est devenu fiable après environ un mois. Alors que la nouvelle version est devenue fiable après environ 10 jours seulement, la troisième version n'est plus redevenue fiable pendant des semaines.

Il ne semble pas qu'un certificat de signature de code standard puisse être utilisé de nos jours. Nous avons abandonné et avons opté pour le certificat EV.

1
Martin Prikryl

Comme vous l'avez compris, vous ne pouvez pas le transférer et vous êtes bloqué sans utiliser EV. Parce que vous avez un nouveau certificat, il a fallu un certain temps pour que votre logiciel soit vérifié comme sûr. Je pense que ce qui se passe maintenant, c'est que votre certification de signature est toujours considérée comme relativement nouvelle et doit renforcer la réputation, mais comme la version précédente du logiciel était correcte, je m'attendrais à ce que la réputation soit plus rapide cette fois-ci.

La seule façon définitive d'accélérer cela est d'obtenir des certificats EV. Cependant, en soumettant de nouvelles versions ici: https://www.Microsoft.com/en-us/wdsi/filesubmission vous pourrez peut-être augmenter votre réputation. Ce blog a des statistiques intéressantes et a repéré quelques modèles potentiels: https://www.coretechnologies.com/blog/windows/Microsoft-smartscreen-filter/

Un moyen possible de contourner ce problème, au moins relativement récemment, était d'avoir un programme d'installation qui change très rarement le code. Ce code télécharge ensuite le programme en arrière-plan et cela fonctionnerait souvent. Malheureusement, je ne pense pas que cela fonctionnera pour WinSCP (ce qui est très utile, continuez votre bon travail!).

1
LTPCGO

WinSCP 5.17 est désormais signé avec le certificat de signature de code DigiCert EV valable jusqu'en février 2023, ce qui signifie qu'il n'y a plus d'avertissement "Windows Defender SmartScreen a empêché le démarrage d'une application non reconnue". Cela a résolu le problème.

0
Petr