12

StartSSL からコード署名証明書を取得したばかりで、インストーラーに署名しようとしています。

署名プロセスはうまくいき、不明な発行元からのものであることに Windows が文句を言わなくなったインストーラー exe を取得しました。これは素晴らしい!

ただし、タイムスタンプも宣伝どおりに機能することを確認しようとしたため、コード署名証明書の有効期限が切れた後、PC の日付を 2012 に移動しました。

これはおそらく何の違いもありませんが、同じインストーラーexeを実行すると、同じ厄介な「不明な発行元」警告が表示されます。

[デジタル署名] タブで exe のプロパティを見ると、タイムスタンプが今日 (2010 年) を示していることがわかりますが、これはまったく役に立たないようです。

タイムスタンプ フィールドに日付が表示されていれば問題ないということ以外は、Google で調べても何もわかりませんでした。信じられません。日付が進んだ私の PC は、問題があると文句を言っています。

このタイムスタンプの概念がまったく機能するかどうか、および実行可能ファイルに正しく署名していることを確認する方法を誰かが知っていますか?

ありがとう。

4

3 に答える 3

8

StartSSL によって発行されたコード署名証明書には、強化されたキー使用法 (EKU) 属性「Lifetime Signing」 (1.3.6.1.4.1.311.10.3.13) が含まれているため、タイムスタンプに関係なく、証明書の有効期限が切れるとファイルの署名が期限切れになります。

于 2010-02-08T05:58:12.267 に答える
2

申し訳ありませんが、回答はありませんが、 Comodo の Instant SSL FAQによると、あなたのような振る舞いは見られないようです。

コード署名証明書の有効期限が切れた後、タイムスタンプ付きのコードは有効ですか?
タイムスタンプにより、証明書の有効期限が切れてもコードが期限切れにならないことが保証されます。コードにタイムスタンプが付けられている場合、証明書の有効期限が切れていてもデジタル署名は有効です。新しい証明書は、追加のコードに署名する場合にのみ必要です。署名時にタイムスタンプ オプションを使用しなかった場合は、コードに再署名して、顧客に再送信する必要があります。

Comodo はこの件に関して権威があるように見えるので、私は彼らの言うことを信じたいと思っています。

私自身、StartSSL からコード署名証明書を購入したいと思っているので、この回答を心待ちにしています。私は彼らのサイトで、コード証明書が「ベータ版」であることに気付きました。おそらく、これは問題を解決するために必要なものです。

于 2010-02-06T21:30:38.420 に答える
0

「Signing Time」と「Stamping Signer」のタイムスタンプには違いがあります。署名時刻は、実際にコードに署名した時刻であり、タイムスタンプが「スタンプ署名者」(証明書サーバー) からのものです。

証明書発行者のタイムスタンプで署名すると、証明書の有効期限が切れていても署名が有効であることを実際に確認できます。

于 2010-02-07T02:16:20.997 に答える