Мы выполняем подписывание кода и устанавливающий метку времени для всех наших производственных сборок. Иногда (обычно, когда мы собираемся RTM (!)) сервер метки времени в Verisign ("http://timestamp.verisign.com/scripts/timstamp.dll") решает пойти офлайн периодически.
Что мы должны сделать в этом случае?
Я не уверен, должен ли сервер временных меток принадлежать корневому CA или нет.
Мы используем http://timestamp.comodoca.com/authenticode (и у нас есть сертификат Comodo authenticode), но на самом деле у нас похожая проблема, в том, что их сервер иногда выдает ошибку или тайм-аут. Мы делаем подписание как часть ночной (или по требованию) сборки на нашем сервере непрерывной интеграции только для сборки Release (не для сборки Debug).
Я обошел это (в основном) двумя способами:
Благодаря этому сбои сборки, вызванные проблемами сервера временных меток, уменьшились с одного-двух раз в неделю до практически полного отсутствия.
EDIT: У меня есть задача MSBuild, которая делает это (а также читает пароль сертификата, хранящийся вне репозитория) по адресу https://gist.github.com/gregmac/4cfacea5aaf702365724
Можно использовать любой сервер отметок времени: недавно я переключился с сервера отметок времени моего эмитента на Verisign, так как обнаружил, что сервер GlobalSign ненадежен. Более того, Thawte не запускает свой собственный сервер отметок времени, но рекомендует людям использовать Verisign.