Certificate-Authority
當公共 CA “程式碼簽名”證書被吊銷時會發生什麼?
具體來說:
將證書添加到公共 CA CRL 後,Windows 將如何處理使用該證書籤名的執行檔?
發生的情況主要取決於您是否使用時間戳服務。如果您是,那麼簽名的執行檔將保持可信;如果您不這樣做,則執行檔將不再受信任。
來自 Thwate 的程式碼簽名證書常見問題解答:
- 我可以使用程式碼簽名證書多長時間?
程式碼簽名證書的有效期為 1 到 3 年,具體取決於您購買證書時選擇的生命週期。您還應該為您的簽名程式碼添加時間戳,以避免您的程式碼在證書過期時過期。
- 程式碼簽名證書過期後帶時間戳的程式碼是否有效?
Thawte 時間戳服務允許您為簽名的程式碼添加時間戳。時間戳確保在證書過期時程式碼不會過期,因為系統會驗證時間戳。如果您在簽署程式碼時使用時間戳服務,您的程式碼的雜湊將被發送到時間戳伺服器以記錄您的程式碼的時間戳。使用者的軟體可以區分使用不應信任的過期證書籤名的程式碼和使用在程式碼簽名時有效但隨後已過期的證書籤名的程式碼。
請在簽署程式碼時指定您需要的時間戳伺服器 url。Thawte 為您提供 SHA-1 和 SHA-256 RFC 3161 時間戳 URL。
時間戳伺服器驗證文件簽名的日期和時間,因此證書可能會過期,但只要文件處於生產狀態,簽名就會有效。僅當您要簽署其他程式碼或重新簽署已修改的程式碼時,才需要新證書。
如果您在簽名期間不使用時間戳選項,則必須重新簽署您的程式碼並將其重新發送給您的客戶。