Как проверить, что timestamping выполняется правильно для подписанного кода

Я только что получил свой сертификат подписи кода от StartSSL и пытаюсь подписать наш установщик.

Процесс подписания идет хорошо, и я получаю инсталлятор exe, который Windows больше не жалуется на неизвестность издателя. Это здорово!

Однако я пытался убедиться, что timestamping также работает так, как рекламируется, поэтому я перенесла дату своего ПК на 2012 год после истечения срока действия сертификата подписи кода.

Это, предположительно, не имеет никакого значения, но когда я запускаю тот же установщик exe, я получаю такое же неприятное предупреждение "неизвестного издателя".

Посмотрев на свойства exe на вкладке "Цифровые подписи", я могу определенно увидеть, что отметка времени показана сегодня (2010), но это, похоже, совсем не помогает.

Googling ничего мне не дал, кроме того, если вы видите дату в поле Timestamp, все в порядке. Я не могу в это поверить, мой компьютер с расширенной датой жалуется, что это не нормально.

Кто-нибудь знает, работает ли эта концепция timestamping и как убедиться, что я правильно подписываю исполняемый файл?

Спасибо.

Ответ 1

Сертификаты подписи кода, выпущенные StartSSL, содержат атрибут расширенного использования ключа (EKU) "Lifetime Signing" (1.3.6.1.4.1.311.10.3.13), что приводит к истечению срока действия сигнатур файлов, когда срок действия сертификата истекает, независимо от того, любые временные метки.

Ответ 2

Извините, у меня нет ответа для вас, но похоже, что вы не должны видеть поведение, какое вы есть, согласно Часто задаваемые вопросы по частому звонку Comodo.

Является ли timestamped код действительным после Сертификат подписи кода expires?
Отслеживание времени обеспечивает этот код не истекает, когда срок действия сертификата истекает. Если ваш код временная подпись цифровой подписи действителен, даже если сертификат имеет истекший. Только новый сертификат необходимо, если вы хотите подписать дополнительный код. Если вы не использовали опция отметки времени во время подписи, вы должны переписать свой код и повторно отправить его своим клиентам.

Comodo, похоже, авторитетен по этому вопросу, поэтому я склонен верить в то, что они говорят.

Я с нетерпением жду ответа на это сам, потому что мне очень хотелось бы приобрести сертификат для подписывания кода от StartSSL. Я заметил на своем сайте, что сертификаты кода являются "бета-версиями", поэтому, возможно, это то, что им нужно, чтобы получить изломы.

Ответ 3

Существует разница между "Подписанием времени" и отметкой времени от "Штамповщик". Время подписи - это время, когда вы действительно подписали код, когда метка времени находится в "подписывающей подписью" (сервер сертификатов).

Подписание с отметкой времени выдатчика сертификата позволит убедиться, что ваша подпись все еще действительна, даже если ваш сертификат уже истек.