Следите за сертификатами с установленным WTD_LIFETIME_SIGNING_FLAG: это означает (несмотря на то, что вы можете предположить из названия), что программа, подписанная сертификатом, является недействительной после истечения срока действия сертификата, даже если программа не изменилась, и сертификат был действителен на момент подписания.
Это также влияет на обновления, поскольку даже если клиент установит флажок, чтобы доверять всем программам вашей компании, если ваша программа обновления не подписана с тем же сертификатом (или этот сертификат истекает), доверие не работает.
От: http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode_PE.docx
Обработка меток времени с семантикой подписи за все время
Приложения или центры сертификации, которые не хотят, чтобы подписи с отметками времени успешно проверялись в течение неопределенного периода времени, имеют два варианта:
• Установите OID подписывающего лица в течение всего срока действия в сертификате подписи издателя.
Если сертификат подписи издателя содержит OID подписывающего лица за весь срок действия в дополнение к OID подписи кода PKIX, подпись становится недействительной по истечении срока действия сертификата подписи издателя, даже если подпись имеет отметку времени. OID подписывающего лица в течение всего срока действия определяется следующим образом:
szOID_KP_LIFETIME_SIGNING 1.3.6.1.4.1.311.10.3.13
• Установите WTD_LIFETIME_SIGNING_FLAG в структуре WINTRUST_DATA при вызове WinVerifyTrust.
Если вызывающий WinVerifyTrust устанавливает WTD_LIFETIME_SIGNING_FLAG в структуре WINTRUST_DATA и срок действия сертификата подписи издателя истек, WinVerifyTrust сообщает, что подпись недействительна, даже если подпись имеет отметку времени.
Если издатель отзывает сертификат подписи кода, который содержит OID подписывающего лица за все время существования или вызывающий WinVerifyTrust устанавливает WTD_LIFETIME_SIGNING_FLAG в структуре WINTRUST_DATA, WinVerifyTrust сообщает подпись как действительную, если выполняются оба следующих условия:
• Подпись была проставлена до даты отзыва.
• Срок действия сертификата для подписи еще не истек. По истечении срока действия подпись становится недействительной.
Например: https://forum.startcom.org/viewtopic.php?f=15&t=2215&p=6827&hilit=lifetime+signing#p6827
Это серьезная проблема с сертификатами StartSSL. Меня не удивляет, что в сертификате, который стоит так мало, есть ограничения, но прятать это ограничение мелким шрифтом или в старом сообщении на форуме вместо того, чтобы ясно указывать в описании продукта, - плохой бизнес. Они могут исправить это в будущем, а другие могут иметь или не иметь такое же ограничение, поэтому письмо для проверки перед тем, как потратить, может быть разумным.
Угадайте, кто не знал спросить? LOL ... да ладно, живи и учись.
person
James Newton
schedule
16.03.2011