упускает сертификаты с WTD_LIFETIME_SIGNING_FLAG набором: Это означает, что (несмотря на то, что вы возражаете предположить из названия), что программа подписано с сертификатом является недействительным после истечения срока действия сертификата, даже если программа не изменилось , и сертификат был действителен, когда он был подписан.
Это также влияет на обновления, в том случае, если клиент проверяет флажок, чтобы доверять всем программам вашей компании, если ваша программа обновления не подписана с тем же сертификатом (или истекает срок действия этого сертификата), тогда доверие терпит неудачу.
От: http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode_PE.docx
Timestamp обработка с Lifetime подписывания семантикой
Приложение или сертификационные органы, которые не хотят датируемые подписи, чтобы успешно проверить на неопределенный период времени, есть два варианта:
• Установите идентификатор OID для жизни в сертификате подписи издателя.
Если сертификат подписывания издателя содержит идентификатор OID для жизни, в дополнение к OID подписи кода PKIX, подпись становится недействительной, когда срок действия сертификата подписывания издателя истекает, даже если подпись имеет временную метку. Срок службы подписавшего OID определяется следующим образом:
szOID_KP_LIFETIME_SIGNING 1.3.6.1.4.1.311.10.3.13
• Установите WTD_LIFETIME_SIGNING_FLAG в структуре WINTRUST_DATA при вызове WinVerifyTrust.
Если вызывающий абонент WinVerifyTrust устанавливает WTD_LIFETIME_SIGNING_FLAG в структуре WINTRUST_DATA и срок действия сертификата подписывания издателя истек, WinVerifyTrust сообщает подпись как недопустимую, даже если подпись имеет временную метку.
Если издатель аннулирует сертификат подписи кода, который содержит всю жизнь подписавшего OID или вызывающего абонента WinVerifyTrust устанавливает WTD_LIFETIME_SIGNING_FLAG в структуре WINTRUST_DATA, WinVerifyTrust сообщает подпись действительными, если оба из следующих условий:
• подпись была отложена до даты отзыва.
• Сертификат подписи все еще находится в пределах срока его действия.По истечении срока действия подпись становится недействительной.
Для примера: https://forum.startcom.org/viewtopic.php?f=15&t=2215&p=6827&hilit=lifetime+signing#p6827
Это серьезная проблема с сертификатами StartSSL. Меня не удивляет, что в сертификате есть ограничения, которые стоят так мало, но хоронить это ограничение в мелкой печати или на старом форуме, вместо того, чтобы ясно указывать в описании продукта, - это плохой бизнес. Они могут исправить это в будущем, а другие могут иметь или не иметь того же ограничения, поэтому электронное письмо для проверки до того, как вы потратите, может быть разумным.
Угадайте, кто не знал, чтобы спросить? LOL ... ну ладно, живи и учись.
Существуют и другие поставщики сертификатов, которые являются МНОГО дешевле. – 2008-11-30 22:25:42
Спасибо, Тодд, на кого я могу взглянуть? – 2008-12-01 00:49:18
www.CACert.org - это некоммерческая организация, предлагающая сертификаты подписи кода для доверенных лиц. – cjakeman 2009-05-02 19:06:38