certificate - 除了 Smartscreen 之外，代码签名 EV 证书的优势是什么？

Question

我必须购买一个代码签名证书，用于签署 Win32 应用程序，我正在考虑是否选择一个 EV 证书。

我能够找到的 EV 证书的优点是:

立即建立 Smartscreen 信誉(而不是等待 3k 下载？[source])

在证书续订期间维护 Smartscreen 声誉[source] (如果第 1 点仍然适用，这可能是一个有争议的问题)

硬件 token 交付选项，通常不适用于普通证书

我想知道它们是否带来了其他优势，例如，使用它们签名的应用程序是否比防病毒、防火墙和其他安全应用程序使用非 EV 证书签名的应用程序更受信任(它们被阻止更少，引发更有利的警告等)。

我重申我最感兴趣的案例:您是否知道某些特定的防病毒/防火墙/安全应用程序对使用 EV 证书签名的应用程序与使用标准证书签名的应用程序的处理差异？

Answer 1

披露:我为一家 AV 供应商工作。

I wonder if they bring other advantages, for example if applications signed with them are more trusted than applications signed with non-EV certificates by antivirus, firewalls and other security applications

这取决于制作安全应用程序的供应商或其当前 (*) 策略。我工作过的两家安全供应商在扫描恶意软件时都忽略了证书的存在。有几个原因:

仅仅因为代码已签名并不意味着它不是恶意的。这只表示它在签名后没有被修改。例如，签署了相对大量的广告软件应用程序。

Malware writes have used stolen certificates in past ，因此我们无法真正确定它是否被原作者使用。这就是我在上面提到“当前政策”的原因，因为这可能会在一夜之间改变。

验证证书是一个复杂且相对缓慢的过程，需要从磁盘读取整个文件——对于非 SSD 存储来说，这是一项昂贵的操作。它还需要执行一些 CPU 密集型的公钥加密操作。因此，对于一些大型可执行文件，检查证书可能需要比扫描文件中的恶意软件更长的时间。

而且由于我们一般根本不看证书，所以不管是标准还是EV。