分类
公司新闻

天威诚信荣获DigiCert白金精英合作伙伴

凭借多年的深度战略合作贡献及突出的市场表现,天威诚信日前收到了DigiCert颁发的“白金精英合作伙伴”荣誉资质认证,该资质为DigiCert战略合作模式中的最高资质,充分证明了天威诚信在亚太区数字证书市场中的极高占有率及领先的业界技术支撑能力与服务支持能力。

天威诚信荣获DigiCert白金精英合作伙伴DigiCert是全球领先的数字信任提供商,专注于为用户提供SSL证书和代码签名证书,是全球众多顶尖公司值得信赖的合作伙伴,同时也为新兴物联网市场提供值得信赖的 SSL、私有和托管 PKI 部署以及设备证书。

早在2000年,天威诚信便将DigiCert认证业务引入中国,开启为中国用户提供DigiCert认证方案的先河。20多年来,双方在合作过程中积累了丰富的行业最佳实践,基于双方共同打造的完善的联合服务机制,天威诚信累计服务于阿里巴巴、百度、腾讯、京东、联想、金山、中行、工行、建行等全行业超95%的大客户,覆盖超10亿网民。

值得一提的是,天威诚信已连续多年蝉联Digicert亚太区年度重要合作伙伴大奖,2022年11月,在DigiCert召开的“2022年亚太区合作伙伴会议”上,天威诚信更一举揽获“2022年度最佳合作伙伴”、“年度卓越销售业绩奖”等重量级大奖。

随着全球数字经济的加速发展,网络安全问题更趋严峻复杂。在助力中国企业网络安全建设过程中,天威诚信将继续依托DigiCert全球领先的安全技术和专业的服务经验为中国互联网用户及企业的数字化转型保驾护航,并将DigiCert的优质技术服务与中国企业本土洞察相结合,不断打磨产品,优化服务,持续深耕本地化SSL数字证书技术和网络信息安全实施方案的研究与应用,为全行业客户提供更优化、更稳定且高性能的网络认证服务。

作为DigiCert中国市场坚实可靠的合作伙伴,天威诚信与DigiCert在合作共赢的基础上将继续立足资源禀赋与服务优势,积极布局推动与DigiCert在数字证书自动化等领域的深入合作,通过提供更有效的数字信任解决方案,更好地满足企业数字化转型和网络安全需求,为众多行业客户的数字化安全升级提供更有力的支撑。

分类
知识中心

什么是EV代码签名证书

在互联网世界中,很多人都会通过下载各种软件进行工作、生活,这其中就会用到代码签名证书,否则将会被网站提示“软件不安全”。

由此可知,代码签名证书是软件开发者/发行者对所要发布的软件进行数字签名的一种数字证书。它支持对.exe、.cab、.dll、.ocx、.msi、.xpi和.xap等文件进行数字签名

事实上,没有数字签名的软件,不仅仅是在安装的时候有警告,就算是在下载的时候,也会遇到微软SmartScreen的抵御,导致软件无法下载,由此可见数字签名之于软件发布的重要性。

那么,代码签名有哪些类型?

代码签名分为普通的OV代码签名证书和扩展验证的EV代码签名证书。

这两种代码签名证书都可以对软件进行数字签名,但作用是不一样的。简单来说,普通的OV代码签名证书仅仅能够对软件进行数字签名实现基本的发布者身份验证和代码防篡改。而应用EV代码签名证书,那么无论是下载还是安装,Windows皆对这个软件进行无条件放行,没有风险警告,没有安装拦截,也没有“发行者未知”的不友好提示,可谓是下载的“VIP通道”。

为何EV代码签名证书有这么安全高效的作用呢?我们不妨从下面几个方面看待这个问题:

1、EV代码签名证书执行的是更加严格的审核标准,它对于证书的申请者进行了严格的身份确认,确保证书的使用者身份真实可信;

2、EV代码签名证书通常使用更加严格的证书载体来存贮证书,即软件发布者在使用EV代码签名证书对软件进行数字签名的时候,需要拿到对应的eToken插入到电脑中,输入密码方可进行数字签名,这种方式减少了证书被恶意复制后滥用的风险。

由此可见,EV代码签名证书从性质上就已经被微软Windows认为值得信赖。所以微软的SmartScreen直接对EV代码签名证书的数字签名进行立即信任放行。

所以,如果您是软件发行商,那么天威诚信强烈建议您申请EV代码签名证书来为您的用户提供更好的软件下载、安装、运行体验。

分类
公司新闻

代码签名证书私钥保护升级措施延期至2023年6月1日

CA/B论坛最新消息,原定于2022年11月15日起执行的代码签名证书私钥保护升级措施,将延期至2023年6月1日,期间用户可在天威诚信继续按照现有规则申请和使用代码签名证书

此次变更旨在加强代码签名证书私钥保护升级对代码签名证书私钥的保护。按CA/B论坛规定,2023年6月1日以后,普通(OV)代码签名证书密钥对必须在达到FIPS 140-2 Level2或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。

代码签名证书私钥保护升级措施延期至2023年6月1日-1

  具体变更详情如下:

变更前:对于普通代码签名证书,天威诚信获取到用户的CSR后,将其提交至CA进行数字签名后生成证书,再通过邮件的方式将证书发送给用户,无需硬件介质。

变更后:自2023年6月1日起,购买普通代码签名证书将和EV代码签名证书一样,证书由天威诚信签发并存储在预配置的USB Key上,再通过邮寄的方式将USB Key寄送给用户。

需要注意的是,此次升级只针对普通代码签名证书。EV代码签名证书及2023年6月1日前签发的普通代码签名证书不受影响。

同时,已经使用代码签名证书或EV代码签名证书签名且加盖时间戳的软件不受影响并长期有效。

代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告,保证代码完整性和不被恶意篡改,使软件开发者信息对下载用户公开可见,从而建立良好的软件品牌信誉度。

然而近年来由私钥泄漏导致的网络安全事件频发,引起了微软等国际巨头的充分重视。可以预见的是,代码签名私钥存储新规开始执行后,OV代码签名证书也将从“软证书”变为“硬证书”,更有助于降低私钥泄漏的可能性。

为避免此次代码签名证书私钥保护升级带来的不便,天威诚信在此提醒,请有需要的用户提前做好计划和工作安排,天威诚信可为用户提供各主流厂商的代码签名证书以及相应的USBkey寄发和更换服务。

依托22年为全行业95%以上大客户提供可靠证书服务的经验,天威诚信在证书审核、签发以及全生命周期自主管理服务方面不断创新,自主研发了更加贴合国内用户使用的vTrus证书品牌,以及更便于用户下单和进行证书管理的证书智能管理平台,持续保障用户网站信息安全,护航企业业务线上化发展。

分类
公司新闻

代码签名证书私钥保护升级措施延期通知

CA/B论坛最新消息,原定于2022年11月15日起执行的代码签名证书私钥保护升级措施,将延期至2023年6月1日,期间用户可在天威诚信继续按照现有规则申请和使用代码签名证书

此次变更旨在加强对代码签名证书私钥的保护。按CA/B论坛规定,2023年6月1日以后,普通(OV)代码签名证书密钥对必须在达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。

具体变更方式如下:

变更前:对于普通代码签名证书,天威诚信获取到用户的CSR后,将其提交至CA进行数字签名后生成证书,再通过邮件的方式将证书发送给用户,无需硬件介质。

变更后:自2023年6月1日起,购买普通代码签名证书将和EV代码签名证书一样,证书由天威诚信签发并存储在预配置的USB Key上,再通过邮寄的方式将USB Key寄送给用户。

需要注意的是,此次升级只针对普通(OV)代码签名证书。EV代码签名证书及2023年6月1日前签发的普通代码签名证书不受影响。

同时,已经使用代码签名证书或EV代码签名证书签名且加盖时间戳的软件不受影响并长期有效。

代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告,保证代码完整性和不被恶意篡改,使软件开发者信息对下载用户公开可见,从而建立良好的软件品牌信誉度。

可以预见的是,代码签名私钥存储新规开始执行后,OV代码签名证书将从“软证书”变为“硬证书”,更有助于降低私钥泄漏的可能性。

为避免此次代码签名证书私钥保护升级带来的不便,天威诚信提醒有需要的用户提前做好计划和工作安排,天威诚信可为用户提供各主流厂商的代码签名证书以及相应的USBkey寄发和更换服务。

分类
知识中心

谁使用代码签名?

代码签名证书用于任何商业打包和分发的软件中。受信任的应用程序商店(如 IOS 应用商店或 Google Play 商店)需要对在其平台上分发软件进行代码签名。除非使用代码签名,否则许多消费者不会下载软件,因此即使不在知名平台上的开发人员也会实现代码签名。有几种不同类型的证书可供使用,具体取决于要分发的软件与哪些系统配合使用。桌面证书包括微软、Java、微软办公软件、VBA和 Adobe AI。移动证书的示例包括“视窗手机”、“视通专用企业”、“已验证的 Java”、“安卓”和“酿造”。

代码签名证书软件的一些示例包括:应用程序、Windows 软件更新、苹果软件、微软 Office VBA 对象和宏、.jar、.air 和 .airi 文件以及任何类型的可执行文件。对于 IOS 应用程序,代码签名使用 X 代码。要将软件上传到 Itunes 存储区,用户必须拥有有效的 Apple 开发者 ID 和有效的证书或个人资料,Xcode 才会对软件进行签名。要集成应用程序,开发人员需要使用开发证书。若要在任何设备上运行应用,必须使用分发证书来发送应用并对其进行测试。其他平台(如 Windows)只需要使用受信任的证书颁发机构。

分类
知识中心

代码签名如何工作?

代码签名有几个步骤,从创建唯一密钥对开始。创建的密钥对是公钥-私钥对,因为代码签名使用公钥加密。创建密钥对后,公钥将发送到受信任的证书颁发机构或 CA,该证书颁发机构通过向软件开发人员返回公钥以及经过数字签名的代码签名证书来验证密钥是否属于所有者。CA 是高度受信任的实体,负责签名和生成数字证书。CA 返回的带有附加公钥的证书确认了开发人员及其创建的任何软件的可信度。

现在已返回公钥和数字代码签名证书,软件的代码将通过哈希函数运行。哈希函数是一个单向函数,它将放入函数中的文本转换为无法反转的值的任意混合。这提供了一个值,用于与将数据发送给使用者时进行比较。然后,输出或摘要由私钥加密。私钥用于加密而不是公钥的原因是,开发人员希望任何人都能够读取消息,但没有人能够篡改它。摘要、代码签名证书和哈希函数现在被组合成一个签名块,并放入软件中,然后发送给消费者。

收到软件后,消费者的计算机首先检查代码签名证书的真实性。一旦确认了真实性,摘要就会使用最初创建的密钥对的公钥进行解密。然后,在软件的代码上使用哈希函数,并将生成的摘要与开发人员发送的摘要进行比较。如果摘要匹配,则软件可以安全安装。

分类
公司新闻

天威诚信|代码签名证书私钥保护升级通知

尊敬的客户,您好:

CA/B论坛要求,为加强对代码签名证书私钥的保护,自2022年11月15日起(以下称升级日期),所有普通代码签名证书的私钥需要在安全加密设备上生成和存储。

具体影响如下:

1、升级日期起新签发的普通代码签名证书,我司将为您邮寄USBkey;

2、EV代码签名证书及升级日期前签发的普通代码签名证书不受影响,无需采取任何措施;

3、已经使用代码签名证书或EV代码签名证书签名且加盖时间戳的软件不受影响并长期有效。

据此,天威诚信提示您:

1、自升级日期起申请普通代码签名证书时,申请人无需再提供CSR文件,EV代码签名证书不受影响;

2、升级日期起新签发证书,需及时下载到您申请证书时我司邮寄给您的USBkey里,如您对老的普通代码签名证书仍有业务需求,建议您提前做好现有普通代码签名证书的申请、储备工作;

3、升级日期前签发的普通代码签名证书,在升级日期后如需替换,我司将为您邮寄USBkey。

为避免此次代码签名证书私钥保护升级带来的不便,天威诚信提醒您提前做好计划和工作安排。

分类
代码签名

Symantec EV代码签名证书

Symantec EV 代码签名证书

(SYMANTEC EXTENDED VALIDATION CODE SIGNING)

——通常恶意代码会伪装成合法软件,很容易得被分发到未设防的用户电脑,和病毒一起形成对用户信息资源的欺诈和攻击。为了阻止这种趋势,Symantec发布了代码签名证书允许用户认证原文件,并验证代码内容的完整性,可以放心得从Internet上下载使用。

  Symantec EV代码签名证书产品特点
√促进软件的下载使用与分发,防止用户下载有害文件
√签发之日起,30天内免费替换
√EV型只支持SHA2算法
√1-3年有效期
√微软WHQL徽标认证计划唯一合作伙伴
√支持 Windows10 内核驱动签名
√最为严格的鉴证流程,保证申请过程的可靠性
√证书即将过期前通知功能
√减少错误消息和安全警告,构建品牌的信任关系
√保护发行商身份安全
√最丰富的品种和全球最广泛的平台支持
√帮助获得系统API访问授权
√30天无条件退款保证

Symantec EV代码签名和普通代码签名的区别
代码签名证书使用特殊的密码哈希对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替,从而 避免用户放弃安装并增加下载率,代码签名会为安装过程增加信用度。
用户在下载已经签名的代码时,计算机会自动验证该代码的可信性,并提示用户可以放心下载和使用。减少或完全消除安全提示,减少客户端软件运行报错,有效提升客户端使用体验,增加软件发行、下载量。
通过对代码进行数字签名来标识发行商的身份,可保证发行商身份和代码在签名之后不被非法篡改。篡改代码或捆绑木马、恶意程序,修改发行商身份信息等任何对已发行代码进行编辑的操作都将导致软件签名信息失效,失去相应安全应用授权。

Symantec EV代码签名证书-1

Symantec代码签名证书种类

微软代码签名证书 (Code Signing Certificates for Microsoft Authenticode):
对 32 位 或 64 位用户模式(.exe、.cab、.dll、.ocx、.msi、.xpi .sys  .cat和 .xap 文件)和内核模式软件进行数字签名
Symantec EV代码签名证书-2
Java 代码签名证书 (Code Signing Certificates for Java):
对于桌面 Java 应用程序,可以对 .jar 文件和 Netscape Object Signing 进行数字签名。 为 Java Runtime Environment (JRE) 所识别。
数字签名 Sun J2SE/J2EE 的 Java Applet 文件,支持Java1.4.2及以上版本的所有Java运行环境。数字签名 J2ME MIDlet Suite 文件,支持业界最多型号和最多品牌的手机。
Symantec EV代码签名证书-2

 

选购增强型(EV)代码签名证书具有以下优点:
增强型(EV)代码签名证书在标准代码签名证书已有的优点基础上,可以提供更强有力的保障,保证发布者的身份无误且已通过认证。
♦ 严格的审核过程能够核实更多关于发布者的信息,使假冒合法开发商和获取伪造证书的难度增大。
♦ 证书储存在USB身份锁上可以降低被盗用的风险。
♦ 获得微软SmartScreen过滤器的即时信誉可以去除终端用户收到的提示应用软件可能为恶意软件的警告信息。
♦ 可以签名windows 10的驱动程序,微软从2015年10月31号开始LAS,UEFI签名提交需要EV证书
Symantec EV代码签名证书-3

提升客户信赖度和下载率
使用代码签名证书对应用软件和代码进行数字签名是使终端客户相信你的代码并无恶意、可以安全下载的最好办法。然而,恶意软件的发布者们越来越狡猾,他们发现了很多以盗用代码签名证书来绕过浏览器和操作系统的应用软件安装程序和下载检测的办法。
增强型(EV)代码签名解决了恶意软件发布者们为扩散恶意代码最常利用的两个缺陷-薄弱 的身份验证过程和糟糕的私人密钥保护。
♦ 严格的审核过程 – 增强型(EV)代码签名证书的申请者们需要经过比普通代码签名证书更为严格的申请程序。除了需要核实发布者的机构名称,其他企业信息如实际地址和管辖权等也要被审核。这种全面的审核过程增加了恶意软件开发商打着合法开发公司的幌子伪造和获取代码签名证书给恶意软件签名的难度。
♦ 储存在USB身份锁上的证书 – 不同于存放在开发者本机上的普通代码签名证书,增强型(EV)代码签名证书被储存在加密锁上。这样可以增加恶意软件商复制或盗用私人签名密钥并用实际证书持有者的身份发布恶意软件的难度。

获得微软SmartScreen过滤器的即时信誉
如果应用软件不为大众所知而且可能是恶意软件,微软SmartScreen过滤器会使用应用软件的信誉信息来警告终端用户。从Internet Explorer 9.0和Windows 8开始,应用软件使用EV代码签名证书将可以获得即时信誉,这样用户下载时就不会弹出警告信息,告别重新申请证书还需要重新累计信用度的操作。

Symantec EV代码签名证书-5
Symantec EV代码签名证书-6

建立与微软SmartScreen过滤器之间的即时信誉
使用增强型(EV)代码签名证书对你的应用软件进行数字签名可以在微软建立应用软件的即时信誉。这意味着终端用户点击下载你的应用软件时,微软SmartScreen过滤器不会弹出该应用软件可能为电脑带来风险的警告提示。

分类
知识中心

应对sha1算法变更,天威诚信发布最佳方案

“程序数字签名无法通过验证,不是被告警、就是被拦截。”连日来,很多一线的软件开发人员叫苦不迭。据微软公告显示,出现上述情况的主要原因是,微软自2016年1月1日起更新代码签名证书验签策略(Windows Enforcement of Authenticode Code Signing andTimestamping),取消对SHA1算法证书在软件数字签名验签中的支持,并从2017年1月1日起在Windows 10中取消对sha1算法时间戳摘要的支持。

 

发现这一问题后,赛门铁克证书亚太区战略合作伙伴“天威诚信”及时组织技术人员进行系统研究,第一时间对问题的存在形势进行分析,研究解决方案。经过多方测试后,近日,他们将最佳解决方案进行了公布。

 

“根据微软公告,sha1算法的应用环境和应用方式被设定时限”

天威诚信分析指出,任何在2016年1月1日之前使用SHA1算法证书签名的文件(签名需含时间戳),在Windows 7及以上版本操作系统中的验签可正常支持到2020年1月1日。另外,2016年1月1日之后,使用SHA1算法证书签名的应用模式文件,在Windows 7及以上版本操作系统中不被支持。同时2017年1月1日之后,使用sha1时间戳摘要的签名(/td sha1),在Windows 10操作系统应用模式文件中不被支持。因RFC3161新版sha256时间戳在Windows 7 以下版本系统中不受支持,2017年1月1日前的单签名文件,仍推荐使用旧版时间戳及sha1算法时间戳摘要(/t)。需要注意的是,仅持有sha1算法的代码签名证书用户,需要将证书升级到SHA256算法。升级后原sha1算法证书仍然有效。可根据应用情况,灵活使用sha1证书单签名、sha256证书单签名或双签名方式,确保文件数字签名的的兼容性不受影响。

 

应对sha1算法变更应根据文件格式和应用模式使用签名证书及签名参数

针对相关用户普遍在此次微软变更shal算法时间中遭遇的问题,天威诚信认为不同格式或应用模式的文件,应该使用不同的签名证书及签名参数。

SHA1证书

/fd sha1   /t

SHA256证书

/fd sha1   /t

SHA1证书

/fd sha1   /t

SHA256证书
/fd sha256  /tr /td sha256
.cat文件 不推荐 ×
内核驱动文件 可用 不推荐
Vista内核驱动文件

/ph

× 可用
.msi文件 × ×
ActiveX文件 × ×
其他PE格式文件 × 可用

另外,天威诚信分析指出,Signtool中影响签名兼容性的部分签名参数包括:/fd 即 File Digest(文件摘要算法),可选值:sha1、sha256、sha284、sha512,默认值sha1;/t即旧版时间戳地址;/tr新版RFC3161时间戳地址;/td新版RFC3161时间戳签名摘要算法,可选值:sha1、sha256 ,默认值sha1。如需使用sha256算法时间戳签名摘要,/td 参数必须在 /tr之后指定;/ph指定SignTool 应打印和验证页面哈希值。Vista内核驱动文件签名必须。

针对“内核驱动文件”天威诚信明确:.cat文件不支持双签名,只能选择单签名。微软目前对驱动文件并没有限定必须使用sha256算法的证书,为适配最优的兼容性,推荐使用sha1单签名;.sys、.dll等文件:内核驱动文件中的PE格式文件,微软虽未限定必须使用sha256算法证书做签名,为适配最优的应用场景,建议应尽量使用双签名。同时,他们认为.msi文件不支持双签名,为适配最优的应用场景,建议应尽量使sha256单签名。

针对“ActiveX控件程序”,天威诚信强调:.cab文件不支持双签名,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名;.cab文件中内含的pe格式控件文件,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名;.ocx格式直接发布的控件文件,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名。

针对“其他Pe格式可执行文件”,天威诚信认为:应用模式PE格式可执行文件,应尽量使用双签名以适配不同版本操作系统。

 

天威诚信代码签名证书助手和微软signtool.exe双签名可解sha1算法问题

为能更为有效的解决此次事件带了相关问题,天威诚信推荐使用“天威诚信代码签名证书助手(下载:https://www.ert7.com/download/iTrusSignTool.exe)”。其优势在于:首先,天威诚信代码签名证书助手支持创建证书请求和安装,支持管理多张证书。其次,当选择使用单签名规则时,代码签名证书助手将默认使用兼容性更好的 /fd sha1 及 /t 参数为您做程序签名。另外,如果同时拥有sha1和sha256算法的证书,还可以创建新的签名规则从而方便快捷的支持双签名操作。双签名中将默认使用 sha1算法证书的 /fd sha1 + /t 和 sha256算法证书的 /fd sha256 + /tr + /td sha256,既保障兼容性,同时确保签名的安全性和易用性。另外天威诚信指出,使用微软signtool工具做命令行下的签名,也可以参考signtool相关签名要求。

同时,天威诚信推荐使用微软signtool.exe双签名。据介绍,为解决SHA1算法证书被逐步淘汰禁用,同时SHA256算法证书在部分版本系统和环境中不被支持的问题,软件开发者可使用双签名解决方案一达到更好的兼容不同平台的目标。可为同一程序同时添加 SHA1 及 SHA256签名,允许不同操作系统自动适配程序签名信息。另外,天威诚信明确,要使用双签名,须升级signtool.exe到 6.3.9600或以上版本(Windows SDK V8.1及以上版本中包提取),签名用机操作系统需 Windows8 及以上版本。Windows 7 及Server 2008 系统用户,可按照微软文档中介绍的signtool依赖文件,从sdk中提取可执行的签名工具包。同时也可以选择从天威诚信下载提取好的signtool依赖文件:http://www.ert7.com/download/soft/signtool.zip

另外,天威诚信介绍双签名操作方式为:SHA1签名:signtool.exe sign /f sha1.pfx  /p <sha1cert password> /t http://timestamp.verisign.com/scripts/timstamp.dll <file to be signed>可附加 /ac 用法,添加交叉证书做驱动模式签名;SHA256签名:signtool.exe sign /f sha256.pfx /p <sha256 cert password> /as /fd sha256 /trhttp://timestamp.geotrust.com/tsa /td sha256 <file to be signed>可附加 /ac 用法,添加交叉证书做驱动模式签名。

品牌 时间戳 网址
Symantec SHA1 http://timestamp.verisign.com/scripts/timstamp.dll
SHA256 http://timestamp.geotrust.com/tsa
GlobalSign SHA1 http://timestamp.globalsign.com/scripts/timestamp.dll
SHA256 http://timestamp.globalsign.com/?signature=sha2
Comodo SHA1 http://timestamp.comodoca.com/authenticode
SHA256 http://timestamp.comodoca.com/rfc3161

代码签名可选的时间戳服务器

天威诚信指出,完成两次签名操作之后,即可在 Windows 8 及以上版本系统中(Windows 7 及Server 2008 R2需安装KB3033929),通过右键点击已签名文件, “属性”=>“数字签名”,并看到 sha1 及 sha256两个版本的签名信息了。

sha1算法变sha256算法后存在的兼容问题需要使用专业应对策略

随着SHA1算法安全性逐年降低,各机构均制定了详细的时间表以启用新的SHA256算法。根据微软最新的策略,一些老版本Windows操作系统中,仍然存在SHA256算法的兼容性问题,而部分新版本操作系统已经开始禁用sha1算法。策略详情请参考下表:应对sha1算法变更,天威诚信发布最佳方案-1

策略详情请参考下表

应对sha1算法变更,天威诚信发布最佳方案-2

 

针对文件摘要算法和时间戳的影响天威诚信提醒:在Windows 7 及以上版本操作系统中,仅支持/t 时间戳用法及 /fd sha1文件摘要算法。而在2017年1月1日之后,Windows 10应用模式签名将仅支持 /tr 时间戳,并要求使用 /td sha256。

针对SmartScreen报告“此程序不是常见的下载内容,可能会危害您的计算机”提示,天威诚信指出,非EV代码签名证书,需要累积软件下载安装量并基于代码签名证书来获得声誉。在累积足够的声誉后,该提示将自动消除。微软未发布声誉评价系统的详细策略数据,但微软策略表明,声誉评价与软件签发时间及安装下载量成正相关。即签发时间越久,下载安装量越大,提示消除的可能性越大。

 

为帮助软件开发者摆脱SmartScreen声誉累积系统的影响,天威诚信建议结合应用场景选择下列方法,消除提示。

1、使用EV代码签名证书签名通过网络下载的可执行文件。EV代码签名证书可立即获得信誉,无需通过累积过程即可快速消除不友善的提示信息。
2、使用已获得良好声誉评价的非EV代码签名证书签名通过网络下载的可执行文件。使用新的非EV证书签名安装包中的所有可执行程序文件,然后使用已获得声誉并且不会出现拦截提示的证书签名打包后的setup文件。用户在安装setup文件后,将同时为新证书累积信誉。在获得足够安装量和信誉之后,新证书将不再出现拦截提示,可正常投入使用。
3、将可执行程序文件打包成zip、rar等格式压缩包。用户下载解压后执行安装操作。未标记为网络下载的可执行程序,将不会被SmartScreen拦截。因此,使用压缩软件压缩的可执行程序,将不会被拦截。注意在为可执行程序打压缩包之前,需确保可执行程序未被标记为通过网络下载的文件。
4、尽快发布非EV代码签名证书签名的文件,累积足够信誉。通过自然累积信誉发布应用虽然是一个非常痛苦的过程,但当上述条件均无法应用时,自然累积信誉的方式发布应用就会成为必然选择了。
分类
公司新闻

Symantec EV代码签名证书,亚太地区首秀

近日,国内知名网络安全认证服务机构天威诚信,携手赛门铁克(Symantec)推出一款新的证书产品——EV代码签名证书。据了解,EV代码签名证书此次是在亚太地区的首秀。选择天威诚信平台亮相,不仅是对过去合作成果的肯定,更是对未来二者合作的信心满满。

 

EV证书,看着显瘦脱衣有肉
在互联网时代,迭代是一个并不陌生的词汇。每一个互联网从业者,每天都在为如何迭代撕逼不休。不过产品更新快未必是好事,步子大了容易扯着裆,想安安稳稳赚着小钱钱,得让人们买你账才行。

 

买你账,你就得保证用户的安全。铁路早就提速了,安全认证当然不能慢。这次,天威诚信又让赛门铁克完成了一次亚太地区的首秀。这个对亚太地区来说的EV代码签名证书小鲜肉,虽然显瘦,但脱衣绝对有肉。

 

都有哪些肉?

 

能控制速度的肱二头肌:使用 EV代码签名证书可以使你的程序在浏览器、操作系统、安全软件中快速建立信誉。快就一个字,我只说一次。

 

有型有款的腹肌:赛门铁克已与微软合作,使用 EV代码签名的程序在微软的SmartScreen服务中直接可信。就是这么霸道、任性、长脾气。

 

让人感觉可靠的胸肌:可以避免用户在下载使用程序过程中看到系统的警告消息,可减少应用程序的错误信息并提高您的可信度。软件厂商和个体开发商可对他们通过互联网分销的软件进行数字签名并盖上时间戳,该数字签名确保了最终用户知道该软件是合法的,来自知名的软件厂商并且该程序代码字自发行以来就没有被篡改过。就是这么踏实可靠,让人心里暖暖哒。

 

支持支持支持,重要功能说三遍
作为一个优秀的网络安全认证证书,必然受到相关大佬的认可。祖师爷级的微软,和赛门铁克EV签名证书之间的关系可是杠杠滴,支持不是事儿,合作真给劲儿。

 

赛门铁克EV 代码签名支持 Windows10内核驱动签名、UEFI、LAS 签名、支持32位和64位 .exe, .dll, .cab, .ocx(ActiveX),.msi,.xpi等文件数字签名、支持微软Office和VBA宏签名、支持Windows 64位驱动签名和核心模式数字签名、支持Silverlight 4应用程序数字签名证书。简单来讲,微软系的一家亲。

 

商业社会沧海横流,而像技术驱动型的微软能够如此认可赛门铁克,大开方便之门,这恐怕也是两家技术驱动公司的惺惺相惜。而天威诚信能够与赛门铁克合作之久、合作之深、合作之小鲜肉产品先紧着你,不得不说天威诚信有股业界老炮儿的风采。

 

还是那句话,信息社会反而更强调隐私。这年头儿,稍有不慎自己就感觉裸奔了,用户自然会对防护服靠谱的地方更为青睐。一场鲜肉首秀,要的是漂亮得像实力派的市场反馈。对于此,我们拭目以待。

 

最后说一句,Symantec EV代码签名证书有效期内免费提供证书补发服务。