1. Inicio
  2. Pregunta y respuesta
  3. Cómo verificar que la marca de tiempo se hace correctamente para el código firmado

Cómo verificar que la marca de tiempo se hace correctamente para el código firmado

2010-02-06 16 views
10

Acabo de recibir mi certificado de firma de código de StartSSL y estoy intentando firmar nuestro instalador.Cómo verificar que la marca de tiempo se hace correctamente para el código firmado

El proceso de firma va bien y obtengo un instalador que Windows ya no se queja de ser de un editor desconocido. ¡Esto es genial!

Sin embargo, traté de asegurarme de que el sellado también funciona según lo anunciado, así que cambié la fecha de mi PC a 2012, después de la fecha de vencimiento de mi certificado de firma de código.

Esto supuestamente no debería hacer ninguna diferencia, pero cuando ejecuto el mismo instalador exe ahora recibo la misma desagradable advertencia de "editor desconocido".

Al observar las propiedades del archivo ejecutable en la pestaña Firmas digitales, definitivamente puedo ver que la marca de tiempo muestra hoy (2010) pero esto no parece ayudar en absoluto.

Google no me dio nada, excepto que si ve la fecha en el campo Marca de tiempo, entonces todo está bien. No puedo creerlo, mi PC con fecha avanzada se queja de que no está bien.

¿Alguien sabe si este concepto de marca de tiempo funciona en absoluto y cómo asegurarse de que estoy firmando el ejecutable correctamente?

Gracias.

Fuente

2010-02-06 B2B

+1

"rem" parece tener la respuesta correcta. Puede leer más sobre "Semántica de firma de por vida" en http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode_PE.docx. – user200783

+0

Nota el comentario de Mark Berry a la respuesta de rem. Al parecer, depende del nivel de validación que tenga sobre si StartSSL admite la marca de tiempo. – MZB

Respuesta

2

Lo siento, no tengo una respuesta para usted, pero parece que no debería estar viendo el comportamiento que usted es, de acuerdo con Comodo's Instant SSL FAQ.

es un código válido sellos de tiempo después de un Código certificado de firma expira?
La marca de tiempo asegura ese código no caducará cuando expire el certificado. Si su código es con marca de tiempo, la firma digital es válida aunque el certificado haya expirado . Es necesario un nuevo certificado solo si desea firmar el código adicional . Si no usó la opción de marca de tiempo durante la firma , debe volver a firmar su código y volver a enviarlo a sus clientes.

Comodo parece ser autoritario en este tema, por lo que estoy dispuesto a creer lo que dicen.

Espero ansiosamente la respuesta sobre esto yo mismo, porque me gustaría mucho comprar un certificado de firma de código de StartSSL. Me di cuenta en su sitio, que los certificados del código son 'beta', así que tal vez esto es algo que necesitan para resolver los problemas.

Fuente

2010-02-06 21:30:38 mitcheljh

+0

Lo mismo aquí para StartSSL: creo que el OP debe hablar con su servicio de atención al cliente y ver qué tienen que decir. –

0

Hay una diferencia entre el "tiempo de firma" y la marca de tiempo del "firmante de estampado". El tiempo de firma es el momento en que realmente firmó el código, cuando la marca de tiempo es del "firmante de estampado" (el servidor de certificados).

Al firmar con la fecha y hora del emisor del certificado, en realidad se asegurará de que su firma aún sea válida incluso si su certificado ya expiró.

Fuente

2010-02-07 02:16:20

+0

¿Windows dirá que el certificado ha expirado (lo que se ve mal para los usuarios), o Windows volverá a la advertencia estándar de "editor desconocido" que normalmente se obtendría? –

8

Los certificados de firma de código emitidos por StartSSL contienen el atributo de uso de clave mejorada (EKU) "Firma de por vida" (1.3.6.1.4.1.311.10.3.13), que hace que las firmas de archivo caduquen cuando expira el certificado, independientemente de las marcas de tiempo.

Fuente

2010-02-08 05:58:12 rem

+2

Según [esta publicación] (https://forum.startcom.org/viewtopic.php?f=15&t=2464) en el foro oficial de StartCom, que hace referencia a [este cuadro de comparación] (https: //www.startssl. com /? app = 40), "el sellado de tiempo es compatible con los certificados de firma de código en el nivel de Validación Extendida". Entonces, parece que si compra su validación de nivel más alto (que todavía es comparativamente de bajo costo), este problema desaparece. Es lógico que quieran un nivel de validación más alto para los certificados que no caducan. Advertencia: no he probado esto yo mismo. –

+2

También tenga en cuenta que "[los certificados de ExtendedStall ™ Extended Validation están actualmente restringidos a corporaciones, entidades comerciales, entidades gubernamentales y otras organizaciones legalmente establecidas] (https://www.startssl.com/?app=30)" - no están disponibles para desarrolladores individuales. –

+0

Parece que startcom/startssl cambió esto recientemente. Tengo un certificado antiguo (ahora caducado) que tiene este atributo, pero compré uno nuevo hace unos días, ¡que no lo tiene! En el foro de StartCom también hay una publicación que dice eso. –

Cuestiones relacionadas

 Cuestiones relacionadas