Jaa


Microsoft SmartScreen & 扩展验证 (EV) 代码签名证书

今天SymantecDigiCert 这两家证书颁发机构 (CA) 宣布推出 EV 代码签名证书。他们的这一声明对于用户和企业来说是一种积极的努力,因为它有助于双方减少欺诈并增加信任。我们想要向您更详细地解释一下这对于 Microsoft 的 SmartScreen 和 Windows 8 应用程序生态系统意味着什么。

Windows 应用商店和 Windows 8 应用程序

Windows 应用商店Windows 8 应用程序的引入对于开发者们而言,将是对他们的应用程序进行分发和货币化的绝佳机会。Windows 8 应用程序都必须通过 Windows 应用商店开发者上架和应用程序审查过程。此过程旨在使用户对他们所购买的应用程序的安全性有足够的信心,同时也为了使整个安装过程尽可能地顺畅。Windows 8 应用程序不在 SmartScreen 应用程序信誉检查或警告的范围内,这些应用程序由 Windows 应用商店直接进行审查、代码签名、许可授权以及分发。

桌面应用程序

桌面应用程序仍然是 Windows 体验的一个重要组成部分,Microsoft 将继续致力于为我们的用户提供安全的桌面体验。我们已经认识到 Internet Explorer (IE) 不是用户从 Internet 下载应用程序的唯一途径,因此现在当用户首次启动从 Internet 下载的应用程序时,Windows 8 将使用 SmartScreen 执行应用程序信誉检查。

对于 Windows 用户来说,SmartScreen 从仅限 IE 演变为面向全系统可以说是一项显著的改进。我们已经在 IE9 中看到了此项功能取得了令人难以置信的结果(详细信息,请参阅这里这里)。成千上万的用户由于这些新的体验而避免了感染恶意软件,我们很高兴能够把这项保护功能带给 Windows 用户,无论他们选择哪种浏览器。有关 IE9 应用程序信誉功能和数据模型的更多信息,请参阅此篇文章。有关 Windows 8(包含 Windows SmartScreen)中的安全及防范功能的更多信息,请参阅此篇文章

对 SmartScreen 应用程序信誉进行更深层次的集成还意味着,桌面应用程序的开发者又获得一种动力,为他们的代码进行签名并建立信誉。我们过去已经谈论过,对于双方建立信誉和证明程序的真实性来说,对代码进行数字签名的重要性。我很高兴地告诉大家,开发者社区已经响应这个号召并开始付诸行动。自“SmartScreen 应用程序信誉”在 IE9 中发布以来,我们已经看到在全球范围内,签名下载内容的数量增长了 10%,即从 IE9 RTM 的 73% 提高到现在的 83%。

正如我们在过去所讨论的,SmartScreen 不但为单个程序也为用于签署代码的证书建立信誉。代码签名对我们的信誉智能来说非常重要,因为这种较高水平的识别技术使我们能够在由一个发行商所签名的多个程序上建立信誉。代码签名对于发行商来说也很重要,因为签名的程序会继承用于签名的证书的信誉;这意味着发行商所分发的每一个程序并不需要单独建立信誉。

EV 代码签名

今天,我们宣布我们在支持代码签名方面取得了一项重大进展,即 EV 代码签名证书的可用性。我们还宣布,EV 代码签名证书将在 Internet Explorer 9、Internet Explorer 10 和 Windows 8 中与 SmartScreen 应用程序信誉技术进行集成。

Microsoft 在过去一年一直致力于帮助证书颁发机构 (CA) 行业提供 EV 代码签名证书。此代码签名标准在安全和识别方面已经取得了一些关键的进展。首先,他们需要更严格的审核和验证过程,类似今天正在使用的 EV SSL 证书。此过程需要对每个开发者执行全面的身份验证。其次,EV 代码签名证书需要使用硬件对应用程序进行签名。这一硬件要求是针对盗窃或意外使用代码签名证书的额外保护。

由 EV 代码签名证书签名的程序可立即使用 SmartScreen 信誉服务建立信誉,即使该文件或发行商以前没有建立任何信誉。在生成信誉并确定产品体验时也会考虑其他因素,而且扩展验证签名的程序将随着时间的推移受到密切监控。我们认为,无论对用户还是开发者而言,在这些证书的审核和安全方面所取得的改进都是极大的发展。

SymantecDigiCert 从今天开始颁发 EV 代码签名证书,而且与 SmartScreen 的集成已经开始应用(IE9、IE10 与 Win8)。

反对者可能会声称 SmartScreen 是在“迫使”开发者在证书上花钱。应当强调的是,EV 代码签名证书不是建立或保持 SmartScreen 信誉所必需的。经过标准代码签名证书签名的文件,甚至未经签名的文件,都可继续建立自去年在 IE9 中引入的应用程序信誉以来它们已有的信誉。但是,EV 代码签名证书的存在是一个强有力的指标,说明该文件已经由已通过严格的验证过程的实体签字,而且,相比未签名或非 EV 代码签名程序,用于签名的硬件使我们的系统能够为该实体更快地建立信誉。

最佳实践

开发者仍然应该遵循我们在以往的博客文章中所建议的最佳实践。我们已经在指导中加入了通过 Windows 应用商店分发应用程序的选项以及 EV 代码签名的选项:

  • 通过 Windows 应用商店分发您的应用程序
    Windows 8 应用程序必须通过 Windows 应用商店开发者上架和应用程序审查过程。在 Windows 8 中,Windows 8 应用程序不在 SmartScreen 应用程序信誉检查或警告的范围内。

  • 对您的程序进行数字签名(标准或 EV 代码签名)
    生成信誉并分配给数字证书和具体的文件。数字证书允许对数据进行汇总并分配给单个证书而不是许多单独的程序。虽然不是必需的,但由 EV 代码签名证书签名的程序可立即使用 SmartScreen 信誉服务建立信誉,即使该文件或发行商以前没有建立任何信誉。EV 代码签名证书还拥有唯一的标识符,这使得它更容易在多个证书续订基础上保持信誉。只有由属于 Windows 根证书计划成员的 CA 所颁发的软件认证码证书才可以建立信誉。

    现在,SymantecDigiCert 已开始提供 EV 代码签名证书。

  • 不要签名或散布恶意代码
    散布被检测为恶意的代码将会导致从文件中删除信誉,还会删除从相关数字证书所获得的任何信誉。

  • 申请 Windows 徽标或 Windows 8 桌面应用程序证书
    在这里了解有关这些程序的更多信息:

今天我们很高兴地宣布 EV 代码签名证书正式开始提供,而且我们很快将在 Windows 8 中为 Windows 的新用户们带来 SmartScreen 应用程序信誉功能。

—SmartScreen,Lead Program Manager,Jeb Haber