Supongamos que tenemos un script de instalación InnoSetup, una aplicación de carga de archivos C ++ QT nativa y una aplicación cliente .Net que cargamos / actualizamos cada vez y que es la aplicación principal. Cargamos archivos a través de http post \ get request.
Entonces, ¿cuántos certificados diferentes tendría que probar nuestra aplicación para los protectores de antivirus de que realmente somos una aplicación real, no de virus y qué parte de nuestra aplicación requeriría qué certificados?
Necesitas tener un certificado de firma de código. Debes firmar cada binario con este certificado. Entonces, por ejemplo, el instalador EXE generado estaría firmado. Si la aplicación de descarga de C ++ está incluida en el instalador, técnicamente no necesitarías firmarla, pero mientras lo haces, hazlo de todos modos.
La aplicación de cliente .net debe estar firmada, y la aplicación que descarga la aplicación .net debe verificar que todo lo que descargó esté debidamente firmado por su certificado (no cualquier certificado).
Es posible que desee ejecutar la descarga a través de HTTPS (recuerde verificar correctamente los certificados SSL, incluida la verificación del CN, que a menudo se olvida) como una capa adicional de seguridad.
Tenga en cuenta que esto tiene poco que ver con los proveedores de antivirus. Pueden tener heurísticas menos estrictas para los archivos firmados (por lo tanto, firmar todo), pero la razón principal de la firma es para evitar ataques.
Lea otras preguntas en las etiquetas digital-signature windows antivirus code-signing