Yazılımınızı yayınladınız, kullanıcı indirdi ve çalıştırmak istedi. Windows araya girdi: "Bu uygulamanın cihazınızda değişiklik yapmasına izin vermek istiyor musunuz? Yayıncı: Bilinmeyen." Kullanıcı için bu, "bu dosya güvenilmez olabilir" demektir — ve çoğu orada vazgeçer.
Uyarı Neden Çıkıyor?
Windows, bir programı çalıştırmadan önce basit bir soru sorar: bunu kim yayınladı ve bu doğrulanabiliyor mu? Cevabı, dosyanın dijital imzasında arar.
Yazılımınız imzalanmamışsa, işletim sisteminin elinde doğrulanabilir bir kimlik yoktur. Windows da kimliğini uyduramayacağı için dürüst davranır ve "yayıncı: bilinmeyen" der. Uyarı, yazılımınızın kötü niyetli olduğu anlamına gelmez; yalnızca doğrulanamadığı anlamına gelir. Ama kullanıcı bu ayrımı yapmaz.
Kalıcı Çözüm: Kodu İmzalamak
Uyarıyı kaldırmanın tek gerçek yolu, yazılımınızı bir kod imzalama sertifikasıyla imzalamaktır. İmza şunu yapar:
- Kimliğinizi bağlar — güvenilen bir otorite tarafından doğrulanmış şirket adınız dosyaya iliştirilir.
- Bütünlüğü garanti eder — dosya imzalandıktan sonra değiştirilmişse, imza bozulur ve sistem bunu görür.
- Uyarıyı dönüştürür — "Bilinmeyen yayıncı" yerine doğrulanmış adınız görünür.
Süreç kabaca şöyle işler
- Bir kod imzalama sertifikası alırsınız (OV veya EV).
- Kimlik doğrulaması tamamlanır; özel anahtar bir donanım token'a ya da HSM'e yerleştirilir.
- Yazılımınızı imzalarsınız (örneğin Windows'ta
signtoolile). - Kullanıcı indirdiğinde artık "bilinmeyen" değil, sizsiniz.
İmzaladım Ama Hâlâ Uyarı Alıyorum
Bu, imzasız dosyadaki uyarıdan farklı bir şeydir ve karıştırılması çok yaygındır. Devreye giren mekanizma Microsoft SmartScreen'dir: imzanız geçerli olsa bile, SmartScreen sizi henüz tanımıyorsa ek bir uyarı gösterebilir.
OV sertifikayla imzaladıysanız bu itibar, yazılımınız yeterince indirilip sorunsuz çalıştıkça zamanla oluşur. EV sertifikayla imzaladıysanız SmartScreen itibarı en baştan gelir — ilk indirmede bile uyarı çıkmaz.
İkisi arasındaki farkı ayrıntılı görmek için EV mi OV mu kod imzalama yazımıza bakabilirsiniz.
Yapmamanız Gerekenler
- Kullanıcıya "uyarıyı geç" demeyin — güvenlik uyarısını görmezden gelmeyi öğretmek, onları gerçek tehditlere karşı da savunmasız bırakır.
- Kendinden imzalı sertifika kullanmayın — halka açık dağıtımda işe yaramaz; sistem yine güvenmez.
- Uyarıyı görmezden gelmeyin — kayıp, gördüğünüzden büyüktür ve sessizce yaşanır.
Uyarı, yazılımınızın kötü olduğunu söylemez — kim olduğunuzun bilinmediğini söyler.