В 2014 году я купил сертификат подписи кода второго класса от StartSSL, который я использовал для цифровой подписи моих двоичных файлов. Этот сертификат только что истек, и я фактически пытаюсь получить новый. Однако в несвязанном инциденте я запустил одну из моих подписанных программ установки в виртуальной машине и был несколько ... раздражен ... когда Windows подняла вариант диалога «Unverified Publisher» диалогового окна UAC.Почему Windows заявляет «Неисповедимый издатель» для подписанного исполняемого файла с сертификатом с истекшим сроком действия
При просмотре цифровых свойств подписи я вижу это:
Конечно срок действия сертификата истек, но почему файл (который был подписан в течение срока действия) внезапно непроверенные? Я не видел, чтобы это происходило с другим программным обеспечением, например, если я смотрю на старую подписанную копию установки Office 2003, которая не жалуется на недопустимую подпись и истекает срок действия validaty десять лет назад.
Почему это? Честно говоря, теперь я задаюсь вопросом, в чем смысл покупки сертификата в первую очередь, и серьезно подумать об отмене замены в процессе. Кажется, бессмысленно, когда они недействительны. Или это отличается от классов 2 и 3? (Класс 3 является версия, которую я пытаюсь достать сейчас)
Возможно [это объясняет это?] (Https://blogs.msdn.microsoft.com/ieinternals/2011/03/22/everything-you-need-to-know-about-authenticode-code-signing/) «Обновление: не все сертификаты издателей разрешены для обеспечения временной привязки для обеспечения неопределенного срока службы. Если сертификат подписывания издателя содержит идентификатор OID жизненного цикла (OID_KP_LIFETIME_SIGNING 1.3.6.1.4.1.311.10.3.13), подпись становится недействительной, когда срок действия сертификата подписывания издателя истекает , даже если подпись имеет временную отметку ". –
Гарри, спасибо за этот комментарий. Фактически это кажется ответом (у сертификата есть «Подписание кода (1.3.6.1.5.5.7.3.3)» и «Lifetime Signing» (1.3.6.1.4.1.311.10.3.13) «Флаги использования расширенного ключа, в то время как более старый сертификат Comodo, который у меня был, не имеет никаких «расширенных» флагов использования и, похоже, не истек сам). Если вы хотите добавить это как ответ, я могу «пометить» его, иначе я добавлю его сам с некоторыми скриншотами. Еще раз спасибо! –