1. дома
  2. Вопрос и ответ
  3. Почему Windows заявляет «Неисповедимый издатель» для подписанного исполняемого файла с сертификатом с истекшим сроком действия

Почему Windows заявляет «Неисповедимый издатель» для подписанного исполняемого файла с сертификатом с истекшим сроком действия

2017-01-01 3 views
2

В 2014 году я купил сертификат подписи кода второго класса от StartSSL, который я использовал для цифровой подписи моих двоичных файлов. Этот сертификат только что истек, и я фактически пытаюсь получить новый. Однако в несвязанном инциденте я запустил одну из моих подписанных программ установки в виртуальной машине и был несколько ... раздражен ... когда Windows подняла вариант диалога «Unverified Publisher» диалогового окна UAC.Почему Windows заявляет «Неисповедимый издатель» для подписанного исполняемого файла с сертификатом с истекшим сроком действия

При просмотре цифровых свойств подписи я вижу это:

WTF

Конечно срок действия сертификата истек, но почему файл (который был подписан в течение срока действия) внезапно непроверенные? Я не видел, чтобы это происходило с другим программным обеспечением, например, если я смотрю на старую подписанную копию установки Office 2003, которая не жалуется на недопустимую подпись и истекает срок действия validaty десять лет назад.

Still valid

Почему это? Честно говоря, теперь я задаюсь вопросом, в чем смысл покупки сертификата в первую очередь, и серьезно подумать об отмене замены в процессе. Кажется, бессмысленно, когда они недействительны. Или это отличается от классов 2 и 3? (Класс 3 является версия, которую я пытаюсь достать сейчас)

источник

2017-01-01 Richard Moss

+0

Возможно [это объясняет это?] (Https://blogs.msdn.microsoft.com/ieinternals/2011/03/22/everything-you-need-to-know-about-authenticode-code-signing/) «Обновление: не все сертификаты издателей разрешены для обеспечения временной привязки для обеспечения неопределенного срока службы. Если сертификат подписывания издателя содержит идентификатор OID жизненного цикла (OID_KP_LIFETIME_SIGNING 1.3.6.1.4.1.311.10.3.13), подпись становится недействительной, когда срок действия сертификата подписывания издателя истекает , даже если подпись имеет временную отметку ". –

+0

Гарри, спасибо за этот комментарий. Фактически это кажется ответом (у сертификата есть «Подписание кода (1.3.6.1.5.5.7.3.3)» и «Lifetime Signing» (1.3.6.1.4.1.311.10.3.13) «Флаги использования расширенного ключа, в то время как более старый сертификат Comodo, который у меня был, не имеет никаких «расширенных» флагов использования и, похоже, не истек сам). Если вы хотите добавить это как ответ, я могу «пометить» его, иначе я добавлю его сам с некоторыми скриншотами. Еще раз спасибо! –

ответ

3

Это, очевидно, ограничение по-дизайн на некоторых сертификатов подписи кода, как описано в первом примечании к сообщению в блоге Microsoft, Everything you need to know about Authenticode Code Signing:

Не все сертификаты издателя позволяют допускать временную привязку для обеспечения неопределенного срока службы. Если сертификат подписывания издателя содержит идентификатор подписывающего лица жизненного цикла (OID_KP_LIFETIME_SIGNING 1.3.6.1.4.1.311.10.3.13), подпись становится недействительной, когда срок действия сертификата подписывания издателя истекает, даже если подпись имеет временную метку. Это освобождение центра сертификации от бремени ведение списков отзыва (CRL, OCSP) на неограниченный срок.

Возможно, вы захотите проверить, будет ли сменный сертификат иметь одинаковые ограничения и, возможно, рассмотреть альтернативного поставщика.

источник

2017-01-02 04:27:58

+0

Я уже решил не переходить с StartSSL снова, поскольку продавец ответил на их недавние проблемы, и в настоящее время я нахожусь в процессе получения сертификата Comodo (хотя и не без сомнений), у меня первоначально был сертификат Comodo в 2013 году, и это было очень неприятный опыт, поскольку я лично заинтересован в том, что они обеспечивают самое страшное обслуживание на планете), а другие поставщики довольно дороги. Даже с сертификатами вы, кажется, получаете то, за что платите, мне просто жаль, что я не знал об этом заранее, но я бы не стал беспокоиться о StartSSL. По крайней мере, теперь я знаю. –

Смежные вопросы

 Смежные вопросы