返回列表 回复 发帖

[纯技术] 【申精】公司名义申请代码签名证书,以及Smart Screen的种种

之前有小敢的个人申请数字签名,我就写个公司名义申请签名的申精吧。

最近几个月来遇到几年来的最低销量,真是很痛苦的事,一下子销量跌到谷底,4年来第一次连续超过3个月销量都是下降的。我不知道是不是xp的退休和没有数字签名的带来的综合效果,但我研究了之后觉得其他方面没有什么问题,觉得签名的问题还是可以一试吧。

我的网站访问用户根据我的后台统计,使用xp/2003占多数,大约32%,其次是win7/2008 R2,约17%,然后就是win8。所以我可以这么推断,如果xp/2003的用户都跑去使用win7和之后的版本,如果他们遇到因为没有数字签名的出现的警告,影响是可以想象的。

首先说一下我对IE和win8所使用的smart screen的理解

Smart Screen并不是说软件没有数字签名就不安全。实际上我很久以前就在观察,Smart Screen具有一套评分系统,这个评分系统根据IE和win8用户对来自网络的文件地址,hash,文件的信息,以及用户的使用情况进行评估。如果某个文件(假设是一个无隐藏任何恶意内容的正常文明软件)是一个新出现在网络上的文件,那么Smart Screen会先认为它不安全,随着用户下载和运行,评分系统开始累计安全分数,当分数达到某个程度之后,这个文件就会被认为是安全的了。无论有没有数字签名,都是一个这样的过程。但是有数字签名的程序,会产生完全不一样的安全分数累计曲线,这个后面我会解释一下这个区别。而就算是没有数字签名的程序,当下载量累计到一定程度,在网络上存在的时间长了,以及引用/使用该文件的网站多了,仍然会促使这个文件被Smart Screen认为是安全的。

我的软件以前每一次发布新版本之后,过一段时间,根据当期的下载量多少,会出现进入安全界限的时间长短不一。如果短期内有非常大量的下载,可能几天到一周之内就被评为安全了,相反则会很久之后才被评为安全。

这就和我的软件的更新周期产生相互影响。假设我的软件的更新周期为一个月而平均进入安全界限的时间为两周,因为其他网站相应的引用和定期检查更新的关系,每次更新的前两周可以出现一个较明显的下载高峰,但是这时候刚刚更新的软件因为是新文件,被评为不安全,基本上这些下载都成了累计安全分的作用,至于用户能不能跨越这个潜在不安全提示去安装,也无法预计,但是产生的负面影响是可以想象的。而两周后被评为安全的时候,下载量已经离开下载小高峰了,效果可想而知。所以如果不能再短时间内被Smart Screen认可,损失肯定是有的,但是到底损失有多大,这个就不容易估计了。

那么到底数字签名能减少多少损失?这个我因为刚刚申请完,没有足够的数据支撑,所以还不能下结论,但是,减少损失的作用应该还是会有的。我先说说申请的流程,然后再来说这个问题。

公司名义申请数字签名流程

我也没有多想,随便找了一家,叫ksoftware,Comodo的代理。我看了价格觉得应该比别人便宜(至少比Comodo官方便宜吧),其实我也没有仔细作比较,是不是比别人便宜那么多我也没去求证,但第一眼看了折扣幅度哇百分之八九十的折扣,就随便按了购买按钮了。Comodo的缺点是不能签64位驱动,但是我不需要签驱动,我只需要一个让讨厌的Smart Screen闭嘴的方法。公司是香港公司。

点了ksoftware的购买按钮之后,会让你填一些简单的资料,包括公司名称,地址,姓名,还有两个邮箱。这写资料要想清楚,乱填会影响审核的。

1.
公司名称是你将要提供的营业执照上面的名称。香港营业执照上面的名称是全大写,但是我填的时候为了好看,只有每个单词首字母大写,也是可以的。另外,Limited可以缩写成Ltd.,也不会影响。但是注意,名称就不能随意改了,到时候和营业执照上面的全称必须基本一致。

2.
地址是营业执照上面的地址,营业执照上面有的地方会缩写,比如九龙,在营业执照上面直接写了KL,我填资料时写了全称Kowloon,也是可以的。因为香港比较特殊,City和State/Province,我都填了Hong Kong,也是没问题的。Zipcode我直接写了0000。这个地址怎么写的,要先记下来,等下会用到。

3.
资料里面还有两个邮箱。两个邮箱都有作用的。

其中一个admin email,是会影响审核流程的。这个email所属的域名,就是比如yourname@gmail.com,除非你拥有gmail.com,否则就不能用这种email地址。你需要挑选一个你拥有管理权或可以修改域名registrant信息,或是资料已经是和你营业执照上的地址以及你申请时填写的地址一致的域名,在这个域名之下的email才能符合要求。Comodo会以该email所属的域名来作为审核的依据,最后颁发的证书也是通过这个email来收取通知的。如果你挑选的域名资料和填写时不一致又无法更改域名信息,Comodo会告诉你将使用admin@yourdomain.comadministrator@yourdomain.comwebmaster@yourdomain.com 等这些普遍使用的管理员邮箱名称,所以填这个的时候要好好挑选了。

第二个邮箱是用来显示在证书里面的Contact Email,所以可以用support邮箱之类的公开的邮箱。

接下来就要及时修改刚刚所说admin email的域名资料,确保registrant信息和申请地址一直了。邮编可以同样填0000,反正两者一致就行了。而且需要注意的是,一般域名信息里面公司名是可选项,有可能没有填写,但是这时候必须填上对应的公司名,否则就算地址一样也不行的。如果有域名隐私,必须先去掉。最好一切都在申请前或申请时马上做好,不然审核流程开始了还查不到相符合的信息的话,到时Comodo的人会让你去修改再继续审核,这样审核时间就被拖长了。

4.
接下来是支付,可以信用卡或PayPal支付,这个简单。支付完之后会在邮箱收到订单确认信息,然后就等人工审核订单了。根据我这次的经验,好像他们一般在8-10小时左右会有回应,所以这时候就不用管它了,等收到订单审核通过的邮件,就进入证书审核流程了。

5.
如果域名信息什么的都没问题了,会让你提交营业执照或是相关的可以证明公司地址和公司名称的真实性的资料,我提交的是营业执照和公司章程,都是用手机拍下来在邮件回复里作为附件发回去就行了。香港的营业执照就是一张纸,上面有条码、公司名、地址、有效期,以及交了多少钱,找到那一张有我说到的具备这些内容特征的纸,那张就是了。反正这张纸感觉就像一张收费回执,一不小心你可能把它当作收据给扔掉。公司章程我是拍了每一页。

6.
前面的审核都通过的话,接下来的最后流程就不容易了。他们要电话回访

电话回访不是说你给他们电话号码让后他们就打给你,如果有这么简单就好了。他们是要求你在当地的权威黄页网站(比如香港就是www.yp.com.hk)或企业目录(比如hktdc),或是DUNS网站(邓白氏网站)登记资料,他们根据你的公司名称去这些地方查,必须查得到你的公司地址和电话,然后才能继续。具体是哪些网站他们会给你列出来让你自己去先去上面找找看,如果你的公司在上面任何一个都查不到,那就必须去提交资料再继续,否则就不行了。去提交这些资料并不是很难,但是很麻烦,因为他们也有自己的审核流程,就算去提交,走完流程也要好些天,然后Comodo这边才能继续。

在他们指定的网站的其中之一能查到资料之后,Comodo就会根据上面找到的公司信息去核对是不是你申请的公司,然后用上面登出来的联系电话来联系你。所以你上面提供的联系电话还必须准确,不能乱填的。如果上面留的电话是其他人在接听(比如客服之类的),你可以说明一下,说电话打过来自己无法接听,但授权其他人代表你接听。同时可以指定一个时间,比如几点到几点(记得加时区),Comodo会在你指定时间打电话的。

电话的内容无非就是要你报出公司名,问一下接电话的人是不是认识申请人,主要就是通过他们主动联系来确定你提供的资料是不是真实的。然后完成这一步之后,很快就会发证书了。

7.
全部流程审核通过后会邮件通知你,然后证书会以邮件形式发到admin email里,邮件里有个链接,点了之后去一个网页collect,collect的过程就是让你点一个按钮,点完这个按钮证书就自动安装在你的浏览器的证书里(比如firefox),这时你进入证书里面自己去把证书导出来就行了。然后备份好,千万别丢了也别泄露了。

贴子超长了,在二楼继续。记得先给分啊!
2

评分次数

顶一下这个帖子,以便让更多人看到,也希望楼主继续。

————————我是分隔线,下面是楼主的后续文字————————————————

哇,终于有人审核了。我来晚了,二楼没了,之前还欠最后一段就在这里补充吧。

说完申请流程,就轮到说签名的效果了

就像前面说的,就算签名了的程序,一样有一个Smart Screen累计安全分的流程,但是这个流程曲线是不一样的。

如果你现在签一个程序,然后传上你的网站,下载完仍然是提示潜在危险,和没有签名一样。

但是,如果你原来有软件,把它替换成签名过的版本,很快你的签名就会被Smart Screen记录。如果下载量不是非常小的话,睡一觉的功夫,这个分数就会累计上来,然后已经被认为是安全的了,比没有签名的时候快了不知多少倍。

而且,接下来才是最重要的,一个带有数字签名的程序成功被Smart Screen认为是安全的之后,用同一个证书再签一个新程序并传上网站看看,马上就被认为是安全的了。所以,从此以后每次发布新版本,都不用经历漫长的重新累计分数的过程!至于效果有多好,我也不清楚,我刚刚收到证书没两天,就签了两个程序试试。具体效果还没体现出来,因为这两个程序以前就是已经累计足够的Smart Screen安全分了。

给程序签名我用的是ksoftware提供的工具,很好用,会自动加入Comodo的时间戳,有图形界面,也有命令行,命令行的语法也超简单,加斜杠问号参数看说明几乎可以秒懂,所以我就不罗嗦了。不是Comodo的话好像不能用这个工具。我装完把里面的程序复制出来,放到项目目录里,项目Release的时候Post-Build事件加入签名命令行,这样每次成功编译release之后就都自带签名了,非常方便。

好了,就基本上是这样了。
楼上是好心人,顶你,祝生意兴隆,财源广进!
本帖最后由 popura 于 2014-5-26 00:19 编辑

哇,终于有人审核了。我来晚了,二楼没了,之前还欠最后一段就在这里补充吧。

说完申请流程,就轮到说签名的效果了

就像前面说的,就算签名了的程序,一样有一个Smart Screen累计安全分的流程,但是这个流程曲线是不一样的。

如果你现在签一个程序,然后传上你的网站,下载完仍然是提示潜在危险,和没有签名一样。

但是,如果你原来有软件,把它替换成签名过的版本,很快你的签名就会被Smart Screen记录。如果下载量不是非常小的话,睡一觉的功夫,这个分数就会累计上来,然后已经被认为是安全的了,比没有签名的时候快了不知多少倍。

而且,接下来才是最重要的,一个带有数字签名的程序成功被Smart Screen认为是安全的之后,用同一个证书再签一个新程序并传上网站看看,马上就被认为是安全的了。所以,从此以后每次发布新版本,都不用经历漫长的重新累计分数的过程!至于效果有多好,我也不清楚,我刚刚收到证书没两天,就签了两个程序试试。具体效果还没体现出来,因为这两个程序以前就是已经累计足够的Smart Screen安全分了。

给程序签名我用的是ksoftware提供的工具,很好用,会自动加入Comodo的时间戳,有图形界面,也有命令行,命令行的语法也超简单,加斜杠问号参数看说明几乎可以秒懂,所以我就不罗嗦了。不是Comodo的话好像不能用这个工具。我装完把里面的程序复制出来,放到项目目录里,项目Release的时候Post-Build事件加入签名命令行,这样每次成功编译release之后就都自带签名了,非常方便。

好了,就基本上是这样了。
好文要顶。
我也前几天给软件签了名了。

目前真没看出来对销量有任何促进。

只不过红色的提示图标变成黄色的提示图标了。

别的什么都没变。  再等两个月看看吧。

Order多多, Support少少.
如何实现  360.cn  这样的签名效果
以前好像搜索过,MS博客里说要IE的SmartScreen允许,需要EV的签名,这个EV应该是class 3级的签名吧。class3的签名很不好弄,至少要一个公司。

Chrome下载我的zip时也会提示红色风险,叫我放弃。过段时间后再下载,发现Chrome不提示了。IE的真没怎么留意过,不知道国外用IE有多少,感觉IE的比Chrome要严格很多。
关键是销量恢复上去没有?我记得前几年Smart Screen刚出来的时候,很多人说有数字签名Smart Screen还提示不安全,吓怕用户,解决办法就是改zip包提供下载了。然后到了前一两年吧,我记得我试过更新安装包,即使没有数字签名,上传后马上下载,Smart Screen根本也没再提示不安全,这机制是什么回事就不清楚了,反正感脚和数字签名关系不大。
禮義廉恥,國之四維。四維不張,國之不國。
关键是销量恢复上去没有?我记得前几年Smart Screen刚出来的时候,很多人说有数字签名Smart Screen还提示不安全,吓怕用户,解决办法就是改zip包提供下载了。然后到了前一两年吧,我记得我试过更新安装包,即使没有 ...
盗喽 发表于 2014-6-1 09:29
你传过很长时间的自然不会提示不安全了,但是你新上传的时候就会。有了数字签名,这个过程就很短,很快就变成安全,没有数字签名这个过程就很漫长。
你传过很长时间的自然不会提示不安全了,但是你新上传的时候就会。有了数字签名,这个过程就很短,很快就变成安全,没有数字签名这个过程就很漫长。 ...
popura 发表于 2014-6-2 00:47
签名以后销量恢复上去没有呢?
我运动 我健康
签名以后销量恢复上去没有呢?
vc2gnu 发表于 2014-6-2 08:09
没有。这个应该只影响刚更新的时候的运行率吧。具体效果我想应该需要几次更新之后才能看到吧。
感谢分享!一直想搞个代码签名,以前必须有公司才能申请,MS现在可以申请个人的了。

因为SMART SCREEN的提示,严重影响我升级的积极性。
都过了这么些天了,签名以后销量恢复上去没有呢?
问下楼主,貌似Regnow  的affiliation 程序也是有数字签名的, 可以申请个affiliation号, 用Regnow的下载也可以
问下楼主,貌似Regnow  的affiliation 程序也是有数字签名的, 可以申请个affiliation号, 用Regnow的下载也可以
兰兰 发表于 2014-6-15 16:27
这个见仁见智吧。Download.com的下载器也是有签名的,用户先下载第三方下载器,然后通过下载器下载和运行安装程序,就不会有警告了。但是如果在win8中单独运行安装程序的时候一样会经过smart screen检查。下载器还容易让人反感。我自己就是只要是需要用下载器的软件一律不使用,除了amazon的下载器。
都过了这么些天了,签名以后销量恢复上去没有呢?
兰兰 发表于 2014-6-15 16:25
没有

但是来自搜索引擎的访问量提高了一点点。
没有

但是来自搜索引擎的访问量提高了一点点。
popura 发表于 2014-6-15 16:47
这个弄不好是你那个黄页起的作用,哈哈。
大家好
这个弄不好是你那个黄页起的作用,哈哈。
dabaili 发表于 2014-6-17 21:23
黄页是签名之前就有的。
楼主能说一下 ksoftware 是哪家吗?或者 pm 告知一下。
   
   谢谢
返回列表