我們剛剛從SHA-1切換到SHA-2代碼簽名證書。 (作爲背景信息,我們使用signtool.exe使用COMODO代碼簽名證書在Windows上籤署.exe和.xap文件。)我們使用經過認證的時間戳來執行此操作,以確保Windows在代碼簽名證書後始終信任代碼簽名到期。代碼簽名時是否/如何避免SHA-1簽名的時間戳?
現在我注意到時間戳證書仍然是一個SHA-1證書,當使用http://timestamp.comodoca.com/authenticode時。 (詳細信息:這是df946a5 ...與主題'CN = COMODO時間戳簽名者,O = COMODO CA有限公司,L =索爾福德,S =大曼徹斯特,C = GB'。)
(在Windows上可以看到該證書通過簽署.exe文件,然後在其資源管理器屬性對話框中轉到數字簽名選項卡,選擇簽名並單擊詳細信息,然後在數字簽名詳細信息對話框中單擊計數器簽名並單擊詳細信息,然後在第二個數字簽名詳細信息對話框中單擊查看證書。如果證書的「簽名哈希算法」爲「sha1」,證書是SHA-1證書。)
這會是一個問題嗎?換句話說,在我們當前的代碼簽名證書過期後,以及Microsoft Windows將SHA-1視爲破碎的算法(最遲在2020年)後,我們的當前簽名仍然會被信任?或者Windows會說:「時間戳在代碼簽名證書的有效範圍內,但時間戳是用SHA-1證書籤名的,所以我不會相信時間戳,因此我不會相信這個簽名」?
我們可以/應該使用另一項服務嗎? (不Verisign的http://timestamp.verisign.com/scripts/timstamp.dll,因爲它們也仍然使用SHA-1時間標記證書,即6543992 ......。)
試過問科莫多支持嗎? – MrTux
調用SignTool.exe時添加/ td SHA256標誌,如下所述。這適用於Comodo時間戳服務器。 –