Softwaresignierungszertifikate und verlässliches Vermeiden von Smartscreenwarnungen

Softwaresignierungszertifikate und verlässliches Vermeiden von Smartscreenwarnungen (3 Beiträge, 231 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Die Lösung scheint ein Code Signing Zertifikat mit EXTENDED VERIFICATION von eben zB Symantec zu sein.

Ich erzeuge clientseitige Software mittels Visual Studio für dotNet >4.0 und muss sicher gehen, dass Benutzer und Downloader niemals eine Smartscreenwarnung sehen, weder beim Download via Internet Explorer noch beim lokalen Ausführen.

Da wird der Bildschirm dunkel und es heißt "Windows protected your PC", dann muss man auf "Mehr Informationen" und "Trotzdem ausführen" klicken. Das macht einen unseriösen Eindruck.

Ich besitze bereits ein ursprünglich als .jks (Javakeystore für JApplets) vorhandenes Zertifikat von Thawte Code Signing mit der erweiterten Schlüsselverwendung Codesignatur (1.3.6.1.5.5.7.3.3). Das konnte ich erfolgreich in eine .pfx Datei umwandeln.
Das Einbinden davon in .exe Dateien die von VS produziert wurde funktioniert problemlos, in den Authentifizierungsinformationen der .exe scheint das gültige Zertifikat mit korrektem Zertifizierungspfad auf

Der Symantecsupport (*PIEP*) ist obwohl es hier um ~1500$ für nichts ginge absolut inkompetent, niemand kann mir zu versichern, dass "wenn das Zertifikat korrekt eingebunden wird garantiert keine Smartscreenwarnung auftritt" und was überhaupt der Unterschied ist zwischen dem extended Validation Code Signing und dem etwas billigeren "Symantec Code Signing Certificates for Microsoft Authenticode"

Ich weiß, dass es diese mysteriöse reputation gibt, die durch mehrmalige Downloads und Fernbleiben von Virenscanner Treffern ansteigt, wodurch die Smartscreenwarnungen irgendwann verschwinden, mein "Kundenvolumen" ist aber unerheblich. Es muss ab der ersten Verwendung beim Kunden ohne Warnung laufen.

1) Warum kommt immer noch eine Smartscreenwarnung obwohl ich das Thawte Zertifikat verwende?
2) Laut Symantec Chat Support (gehirnamputierte Vollidioten) gibt es mit "Symantec Extended Validation Code Signing" gar keine Smartscreenwarnungen mehr, sehr vertrauensvoll war diese Aussage aber nicht. Ist das so? Gibt es Quellen? Erfahrugnsberichte?
3) Unterschied zwischen den beiden von Symantec angebotenen Zertifikatstypen?

Vor allem diese schwammige Formulierung auf der Symantec Seite stößt mir auf:
"Programs signed by an EV Code Signing certificate can immediately establish reputation with SmartScreen reputation services even if no prior reputation exists for that file or publisher. "
Das kann man interpretieren als das Vermögen Reputation zu sammeln oder das Vermögen seine Anwendung sofort mit fixfertig reputation "zu versorgen". Wie es nun ist konnte ich nicht in Erfahrung bringen.

test

12.12.2013, 09:50 Uhr - Editiert von Diabolo2000, alte Version: hier

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung