Windows 不喜欢签名的 MSI 包

Question

我已经使用高级安装程序准备了我的 MSI 包，然后使用 SignTool:

对其进行了签名

signtool sign /debug /f "cert.pfx" /fd SHA256
/p "<pass>" /t http://timestamp.comodoca.com/authenticode "<file.msi>"

但是，当其他用户通过网络浏览器下载已签名的 MSI 并进行安装时，会出现下一条消息：

我的 MSI 具有以下属性：

• 数字签名，用paid/commercial生成 证书 (Comodo)
• 时间戳
• 使用了 SHA-256 而不是 SHA-1，因为最后一个在最新 Windows
中是不安全的

所以，主要问题是下一个：

为什么 Windows 不能将我签名的 MSI 识别为众所周知的，如果我已经使用商业代码签名证书签名？

PS

如果你对Windows使用的是哪个版本感兴趣，那么答案是the latest Windows 10。 关于列表中的最后一个选项，有一个有趣的 link，我将引用其中的一些文字：

Effective January 1, 2016, Windows (version 7 and higher) and Windows Server will no longer trust new code that is signed with a SHA-1 code signing certificate for Mark-of-the-Web related scenarios (e.g. files containing a digital signature) and that has been time-stamped with a value greater than January 1, 2016. This cut-off date applies to the code-signing certificate itself.

Answer 1

当您尝试 运行 新发布的程序或尚未建立信誉的应用程序时，SmartScreen Protection 会显示上述消息。

信誉由 SmartScreen® 服务智能算法根据 Windows 和 Internet Explorer 用户使用应用程序的方式建立。

有关详细信息，请查看讨论此主题的 Win8 when install a signed application? 线程上的传递智能屏幕。