Здравствуйте, bnk, Вы писали:

vsb>>А не пробовали получать новый сертификат на старый ключ? Если MS делает систему по уму, то привязка должна идти не к сертификату, как таковому, а к публичному ключу и должно быть возможно получить новый сертификат сохранив ключ для подписи, если, конечно, удостоверяющий центр даёт такую возможность.

bnk>Такое правда возможно, или придумываешь?

В TLS это возможно и этим часто пользуются. В подписях точно такие же X.509 сертификаты и алгоритмы используются. Т.е. весь вопрос в удостоверяющих центрах, как они работают, принимают ли CSR.

По личному опыту сейчас для Smart Screen нужен EVO сертификат.
У нас есть 2 сертификата. Обычный и EVO.
После того как обновили обычный сертификат даже через 3 месяца Smart Screen ругался при скачиваниях в десятки тысяч.
На EVO сертификат (малоиспользуемый) нет срабатывания Smart Screen.
Были проблемы с некоторыми "лающими собачками" на Virustotal.
Они решаются в отправке False positive репортов.

Делюсь лайфхаком — возможно, кому-то поможет сэкономить деньги и время!

Решить вопрос со SmartScreen удалось с помощью сабмита в Microsoft:
https://www.microsoft.com/en-us/wdsi/filesubmission/

Сначала приходит ответ-отписка, но внизу страницы с ответом есть кнопка "File a dispute", где уже можно более подробно со ссылками на свой сайт изложить суть проблемы. Вот после этого через пару дней получил ответ на почту, что сертификату добавили репутации и предупреждения исчезли.

Вот ответ на английском:

Thank you for your interest in the Windows Defender SmartScreen® Application Reputation feature. We are glad to confirm that the signing certificate (thumbprint: 015674BC7D096B7CFCD5DC3149512496B94D1763) has since gained reputation. Now that your signing certificate has gained reputation in our system, all applications or releases signed with it should have warn-free experience (assuming nothing happens to denigrate the reputation of the certificate, such as being used to sign malware).

To give you some additional background, when a certificate is renewed, or if a new certificate is used to sign files, fresh reputation needs to be established. The reputation of the previous certificate is one of the important elements in attaching reputation to the newer certificate. Typically, a renewed certificate will establish reputation more quickly than a completely new certificate such as one from a different CA or one which uses different organization details (company name, etc.). For future reference, here are some suggestions to help establish reputation for a new or renewed certificate:

· When using a new certificate (or even renewing a cert), use the same information (Name, email contact address, etc.) that was used for an older, established certificate

· Use the new certificate to sign an already established application

· Sign a new application with an already established certificate

· Ensure that applications signed with the new certificate are accessible (rather than remaining on an intranet, for example)

· Do not create many different certificates for signing applications. Use a limited number of certificates, and ensure that applications that are signed with them are not vulnerable to compromise

· Consider renewing the certificate a little early and signing a few of your applications with it before your existing certificate expires

Несмотря на то, что они тут пишут, подпись старым и новым сертификатами одновременно на предупреждения не влияли. Как прокачать сертификат органически, тоже не понятно. Выше давал ссылку на пост автора WinSCP — количество закачек в публичном доступе, но ему это не помогло. Лучше сделали бы нормальный Windows Store, а не эти пляски с сертификатами.

Всем спасибо за помощь!

Здравствуйте, Alexander Avdonin, Вы писали:

AA> Лучше сделали бы нормальный Windows Store, а не эти пляски с сертификатами.

Здравствуйте, Alexander Avdonin, Вы писали:

AA>А как вы боретесь с предупреждениями SmartScreen?
Вот самсунг, например, никак не борется