· 触发条件:
· 软件未签名(如个人开发者未购买证书)。
· 签名使用的证书已过期、被吊销,或与发布者身份不匹配。
· 软件被篡改(如病毒植入后破坏了签名)。
02
发布者未被系统信任
· 信任链机制:操作系统内置了受信任的根证书颁发机构(CA)列表。若软件的签名证书不在此列表中(如自签名证书或小众CA),系统会视为“未知”。
· 常见场景:
· 小型开发者或开源项目未申请商业证书。
· 企业内部分发软件使用内部CA签名,但用户设备未导入该CA证书。
03
操作系统安全策略限制
· 默认设置:为降低风险,系统默认禁止运行未签名或来源不明的软件。
· Windows:通过“用户账户控制(UAC)”和“SmartScreen筛选器”拦截。
· macOS:通过“Gatekeeper”限制,默认仅允许运行App Store或已签名软件。
· 企业环境:管理员可能通过组策略或配置文件进一步限制软件来源。
04
潜在安全风险提示
· 恶意软件伪装:未签名软件可能被用于传播病毒、间谍软件等。
· 中间人攻击:若软件在传输过程中被篡改(如通过不安全的网络下载),签名失效会触发警告。
如何消除此类警告?
对于此类警告,微软的建议是“使用代码签名对程序进行数字签名”,“使用属于 Windows 根证书计划的证书颁发机构(CA)颁发的代码签名证书”,以验证发布者的真实身份,确保应用程序代码的完整性。
代码签名证书类型
01
OV标准型代码签名证书
申请OV标准型代码签名证书只需要验证申请企业的基本信息、税务信息就好,验证成功后通过邮件等形式发放证书,主要对32/64位应用程序进行签名,防止各类杀毒软件误报等。
02
EV增强型代码签名证书
申请EV代码签名证书除了验证企业的基本信息、税务信息外还要对企业的经营地址、申请人身份进行审查,验证成功后会用U盘邮寄证书。和OV标准代码签名证书不一样的是,EV增强型代码签名证书支持Windows 10内核驱动文件签名。
作为应用程序所有者,通过使用代码签名证书对程序进行数字签名,在验证开发者身份的同时,确保程序代码的完整性,提高程序可信度,增强用户信任,让用户可以放心下载和使用。返回搜狐,查看更多