Как проверить, что добавление метки времени сделано правильно для кода со знаком
Я только что получил свой сертификат для подписывания кода от StartSSL, и пытаюсь подписать наш установщик.
Процесс подписания подходит, и я получаю установщик exe, что Windows больше не жалуется на то, чтобы быть от неизвестного издателя. Здорово!
Однако я пытался удостовериться, что добавление метки времени также работает, как рекламируется, таким образом, я переместил свою дату ПК в 2012 после моей даты истечения срока сертификата для подписывания кода.
Это, предположительно, не должно иметь никакого значения, но когда я запускаю тот же установщик exe, я теперь получаю того же противного "неизвестного издателя" предупреждение.
Рассмотрение свойств exe на вкладке Digital Signatures, я могу определенно видеть, что метка времени показывает сегодня (2010), но это, кажется, не помогает вообще.
Поиск с помощью Google ничего не дал мне за исключением того, что, если Вы видите дату в поле Timestamp затем все в порядке. Я не могу верить этому, мой ПК с усовершенствованной датой жалуется, что это не в порядке.
Кто-либо знает, работает ли это понятие добавления метки времени вообще и как удостовериться, что я подписываю исполняемый файл правильно?
Спасибо.
3 ответа
Есть разница между "Время подписания" и "Временная метка" от "Штамповщик". Время подписи - это время, когда вы фактически подписали код, когда метка времени от "stamping signer" (сервера сертификатов).
Подпись с отметкой времени эмитента сертификата на самом деле гарантирует, что ваша подпись все еще действительна, даже если срок действия вашего сертификата уже истек.
Сертификаты для подписи кода, выданные StartSSL, содержат атрибут расширенного использования ключа (EKU) «Пожизненная подпись» (1.3.6.1.4.1.311.10.3.13) , что приводит к истечению срока действия подписей файлов по истечении срока действия сертификата, независимо от каких-либо отметок времени.
Извините, у меня нет для вас ответа, но похоже, что вы не должны видеть свое поведение, согласно Comodo's Instant SSL FAQ.
Действителен ли код с временной меткой после Сертификат кодового подписания истекает?
Тайм-амплитуда гарантирует. этот код не истечет, когда Срок действия сертификата истекает. Если ваш код временная подпись действительный, несмотря на то, что сертификат имеет истекли. Новый сертификат только необходимый для подписания дополнительный код. Если вы не использовали временная метка во время подписывая, вы должны переподписать свой код и переслать его своим клиентам.
Comodo, кажется, авторитетна в этом вопросе, так что я склонна верить в то, что они говорят.
Я сам с нетерпением жду ответа на этот вопрос, потому что мне бы очень хотелось приобрести кодовую подпись cert у StartSSL самому. Я заметил на их сайте, что кодовые подписи - это "бета", так что, может быть, это то, что им нужно, чтобы разобраться с перекрутками.