Внимавайте за сертификати с WTD_LIFETIME_SIGNING_FLAG: Това означава (въпреки това, което предполагате от името), че програма, подписана със сертификата, е невалидна след изтичане на сертификата, въпреки че програмата не е променена, и сертификатът е бил валиден, когато е бил подписан.
Това също засяга актуализациите, тъй като дори ако клиентът постави отметка в квадратчето, за да се довери на всички програми от вашата компания, ако вашата програма за актуализация не е подписана със същия сертификат (или този сертификат изтича), тогава доверието се проваля.
От: http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode_PE.docx
Обработка на времево клеймо със семантика на подписване през целия живот
Приложенията или сертифициращите органи, които не желаят подписи с щамповани време и време да се проверяват успешно за неопределен период от време, имат две възможности:
• Задайте доживотния OID на подписващия в подписващия сертификат на издателя.
Ако подписващият сертификат на издателя съдържа доживотния OID на подписващия в допълнение към OID за подписване на PKIX код, подписът става невалиден, когато сертификатът за подписване на издателя изтече, дори ако подписът е с времеви печат. Доживотният OID на подписващия се дефинира, както следва:
szOID_KP_LIFETIME_SIGNING 1.3.6.1.4.1.311.10.3.13
• Задайте WTD_LIFETIME_SIGNING_FLAG в структурата WINTRUST_DATA, когато извиквате WinVerifyTrust.
Ако извикващ WinVerifyTrust зададе WTD_LIFETIME_SIGNING_FLAG в структурата WINTRUST_DATA и подписващият сертификат на издателя е изтекъл, WinVerifyTrust отчита подписа като невалиден, дори ако подписът е с времеви печат.
Ако издател отмени сертификат за подписване на код, който съдържа доживотния OID на подписващия или извикващ WinVerifyTrust задава WTD_LIFETIME_SIGNING_FLAG в структурата WINTRUST_DATA, WinVerifyTrust отчита подписа като валиден, ако са изпълнени и двете от следните условия:
• Подписът е с дата на подписа преди датата на отмяна.
• Сертификатът за подписване все още е в срок на валидност. След изтичане на срока на валидност подписът става невалиден.
Например: https://forum.startcom.org/viewtopic.php?f=15&t=2215&p=6827&hilit=lifetime+signing#p6827
Това е сериозен проблем със сертификатите StartSSL. Не ме изненадва, че има ограничения в сертификат, който струва толкова малко, но заравянето на това ограничение в дребния шрифт или в стара публикация във форума, вместо да бъде изяснено в описанието на продукта, е лоша работа. Те може да го поправят в бъдеще, а други може или не могат да имат същото ограничение, така че имейл, който да проверите, преди да харчите, може да е разумно.
Познайте кой не знае да попита? LOL... добре, живей и се учи.
person
James Newton
schedule
16.03.2011