个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我开发了一个免费的个人理财应用程序。这对我来说是一种爱好。
我在我的网站上有它可供下载。 http://moneyble.com/download/
我经常(大约一个月一次)发布一个新版本。所以文件的哈希值发生了变化。
从我的网站下载该文件时,浏览器会显示警告,指出该文件不常下载且可能存在危险。
同样在 Windows 8 机器上会弹出 SmartScreen 警告。
这两个警告都会杀死任何尝试下载我的软件的新用户。
我阅读了一些关于代码签名的文章,并意识到我必须购买代码签名证书。向 Microsoft 付费以获得发布我自己的软件的权利,这听起来很愚蠢。就像他们拥有互联网一样。但无论如何……他们制定了规则。
题:
我应该花 500 美元购买 EV 代码签名证书吗?
或者
我可以购买便宜得多(100 美元至 200 美元)的 Microsoft Authenticode 证书并仍然摆脱这两个警告(下载和 SuckScreen)吗?
我的 exe-s 目前在 MS 中没有声誉。我经常更新exe-s。用户群从 0 开始缓慢增长。
有人有现实生活中的类似经历吗?
仍然不知道如何签署 zip 包。我也提供了我的程序的可移植安装。如果您在 Google Chrome 上下载可移植的 zip 包 - 它会显示一条令人讨厌的消息“Moneyble.zip 不常下载,可能很危险”。该包中的 Exe 已签名。但它没有帮助。 IE 没有这个问题。这只是谷歌浏览器的问题。
如果有人对如何分发可移植安装有建议 - 我将不胜感激。
如果要检查警告,请从以下位置下载安装程序之一:
http://moneyble.com/download/
最佳答案
我刚刚写了几个 blog posts在这个话题上。以下三个屏幕截图说明了从未签名到标准 Authenticode 证书到 EV Authenticode 证书的过程:
无数字签名
使用 DigiCert 的标准 Authenticode 证书签名
使用 DigiCert 的 EV Authenticode 证书签名
因此,除非您可以积累 Microsoft 认为意味着您的程序经常被下载的任何关键用户量,否则 EV 证书是为所有用户删除 SmartScreen 警告的最快方法。就其值(value)而言,DigiCert 硬件 token 很容易通过 Windows 证书管理器使用,但我们承认它花费 450 美元是相当昂贵的,尤其是对于业余爱好。
关于windows - EV 代码签名证书或 Microsoft Authenticode 的代码签名证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21124634/
25
4
0
我正在使用以下命令运行 SignTool: signtool sign/f keyfile.pfx/p mypassword pathToMsiFile.msi 我收到以下错误: SignTool E
阅读了 .NET 中的强名称 here ,例如,我有以下问题: 我们有一个 验证码 代码签名证书,我们用它来签署我们所有的 EXE、DLL 和 MSI 文件。这样做的好处是 Windows 知道 MS
我们为所有生产版本执行代码签名和时间戳。有时(通常是当我们即将进行 RTM (!) 时)Verisign 的时间戳服务器 (“http://timestamp.verisign.com/scripts
直接在构建服务器上安装 Authenticode 代码签名证书以创建生产签名构建是否可以接受?我正在网上寻找一些建议或支持这种做法是合法的资源,前提是您已采取适当的步骤来保护构建服务器以及创建和部署构
我在使用 Set-Authenticode 签署 .NET Standard 2.0 程序集时遇到问题作为 Azure DevOps 管道一部分的 powershell 函数。我已经编写了一些 pow
最终用户要求我将“强命名”添加到我的一个组件中,因为他们想从强命名程序集中引用它。 我已经有一个验证码证书,所以我想知道 - 为了让我的组件可以被他们的强命名组件使用,我只用我的验证码 key 签署组
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 8年前关闭。 Improve thi
我正在使用WinVerifyTrust使用以下函数验证某些 Windows 可执行文件的有效性,从 _tmain 循环调用: int signature_is_valid(const wchar_t
我有一个具有以下结构的 .Net 解决方案: a.exe b.dll 第三方.dll 我希望只对我自己的二进制文件(a.exe 和 b.dll)进行 Authenticode 签名。 我目前在 a.e
在 Windows 10 的“快速环”上,我在自己的安装可执行文件上出现了奇怪的行为: 我是 SHA-1 签署他们 Authenticode多年来以同样的方式,从未有过任何问题。 最近 Windows
我想使用我自己的 Authenticode 时间戳服务为我的 DLL 文件添加时间戳。这可能吗?我怎样才能做到这一点? 最佳答案 您可以开发自己的时间戳服务。您可以编写 TSP (RFC 3161)
简短的问题 如何从可执行文件 (.EXE/.DLL) 中获取有关多个代码签名证书的信息? 预期的答案 最终接受的答案应该提出一种在 C# 中获取所有证书的方法。概念/伪代码还可以,我不指望你写出完整的
我不想验证证书。我想在构建服务器上使用它来检查所有文件并列出我们可能忘记签名的文件。 最佳答案 如何使用 Get-AuthenticodeSignature PowerShell 命令?描述说: If
我们最近购买了一个代码签名证书,我一直在将代码签名步骤合并到我们的自动构建中。 我们的构建脚本必须同时构建 VB6 和 .NET 项目,因此我们目前有一个可以构建所有内容的批处理文件。对于 .NET
我开发了一个免费的个人理财应用程序。这对我来说是一种爱好。 我在我的网站上有它可供下载。 http://moneyble.com/download/ 我经常(大约一个月一次)发布一个新版本。所以文件的
我们需要验证二进制文件是否使用数字签名 (Authenticode) 正确签名。这可以通过 signtool.exe 很容易地实现。但是,我们需要一种自动方法来验证签名者姓名和时间戳。这在使用 Cry
好吧,我做得不对,我需要一些帮助。这是发生的事情: 我有一个来自 Comodo 的“真实”Authenticode 证书我已经付款了。 我正在尝试签署并部署用 Visual Studio 2012 和
我可以使用 Microsoft Authenticode 证书进行 Java 代码签名吗?有人有这方面的经验吗? 我找到了this tutorial在 Thawte 的网站上,介绍了如何将 MS 证书
大多数 CA 都在不同的“产品”中销售代码签名证书,例如 Verisign 或 Certum: Microsoft Authenticode - “允许您签署 EXE、OCX、DLL、bla...”
我正在实现自动更新功能,需要一些关于如何使用最佳实践安全地执行此操作的建议。我想使用下载文件的 Authenticode 签名来验证它是否可以安全运行(即来 self 们公司并且没有被篡改)。我的问题
我是一名优秀的程序员,十分优秀!