我们工作中的一些软件服务提供下载 Excel 文件作为模板来填写一些数据,然后将其重新上传到我们的软件中进行导入。由于我们域中的用户通常不太懂技术,我们过去常常提供一些 Excel 宏来帮助用户动态隐藏行、列甚至整个工作表。
去年,微软为 Office 引入了一项新策略,用于处理*.xlsm带有网络标记 (MotW) 的文件(例如)中的宏,因为它们是通过下载或邮件接收的。Office 如何确定是否运行带有 MotW 的文件中宏的整个过程都有记录这里文章中以下流程图总结了这一过程:
我们从这篇文章中了解到,为了在下载的 Excel 文件中运行宏(就像我们以前提供给用户的那些文件一样),这些宏必须通过文件名、位置或证书获得信任。虽然我们也考虑完全放弃宏(在某些环境中,它们仍然可能被完全禁用),但现在一些同事希望使用证书对宏进行签名,因为他们认为这将解决用户面临的问题。
为了测试这种可能性,我们使用自签名证书成功签署了宏,并临时将根证书添加到我们的计算机。然而,问题仍然存在,因为用于签署宏的实际证书需要存在于证书存储中值得信赖的出版商我们可以手动添加,甚至可以使用 Excel,然后整个过程对于使用相同证书签名的宏都有效,但通过 Excel 注册证书不适用于具有 MotW 的文件(此行为已记录在案这里)这基本上就是我们在原地打转。请不要误会我的意思,我完全理解,从安全角度来说,这可能对用户来说是最好的。
现在真正的问题是使用扩展验证 (EV) 证书是否会对 Excel 产生任何影响,因为这就是我公司某个人一些证书供应商告知遗憾的是,我们无法使用这种证书测试工作流程,因为据我所知,没有办法模拟 EV 证书的行为。
如果我对整个主题理解正确的话,EV 证书与常规 X.509 证书没有什么不同,但具有非常严格的注册流程,并且基于特定的根证书。这些根证书被硬编码到某些软件(如浏览器和操作系统)中,因此软件可以对这些证书有额外的信任,例如在安装软件(智能屏幕)或设备驱动程序(Windows 10/11 所需)时。关于 Office 和 Excel,我发现许多供应商声称 EV 证书可用于签署宏(因为与非 EV 证书没有技术差异),但我找不到任何提示或证据表明购买和使用此类证书仅用于签署 Excel 宏有任何好处。
Office 或 Excel 是否有类似的功能?使用 EV 证书签名的宏是否会自动受信任,即使对于带有 Web 标记的文件也是如此?使用 EV 证书签名 Excel 宏是否有其他好处?
答案1
此回答仅涵盖使用 EV 证书的好处问题。您下载的文件被标记为网络标记 (MotW) 的问题与此无关,可能与您的网站是否正确包含在受信任区域中有关。
来自维基百科 扩展验证证书 (EV):
扩展验证证书 (EV) 是符合 X.509 的证书,可证明所有者的法人实体,并由可颁发 EV 证书的证书颁发机构密钥签名。EV 证书的使用方式与任何其他 X.509 证书相同,包括使用 HTTPS 保护 Web 通信以及对软件和文档进行签名。与域验证证书和组织验证证书不同,EV 证书只能由部分证书颁发机构 (CA) 颁发,并且需要在颁发证书之前验证请求实体的法人身份。
截至 2021 年 2 月,所有主流网络浏览器(Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari)都有菜单,显示证书的 EV 状态和 EV 证书的已验证合法身份。移动浏览器通常以与域验证 (DV) 和组织验证 (OV) 证书相同的方式显示 EV 证书。在线上最受欢迎的十个网站中,没有一个使用 EV 证书,而且趋势是远离它们的使用。
因此,对于签名目的而言,EV 证书没有任何优势,除非它的证书颁发机构是知名的并且肯定会得到各地的承认。
有知识的用户可能还会很高兴知道该产品是由使用最佳保护措施的正规供应商销售的,但大多数用户不会注意到其中的差异。
除此之外,据我所知,微软对 EV 证书并没有区别对待,使用它们签名的产品不会逃脱 MotW。